1. Вступ
2. Що таке capsman v2
3. Налаштування контролера wifi мережі
4. Підключення точок доступу
5. Перевірка роботи безшовного wifi роумінгу
6. 2 мережі в capsman на прикладі гостьовий wifi
7. висновок
8. Корисні відгуки про роботу capsman
9. Відео настройки capsman

Вже не раз я торкався теми цікавих і багатофункціональних роутерів, придатних для будинку, малого і середнього бізнесу. У цій статті розглянемо настройку в mikrotik функціоналу capsman для створення єдиної безшовної wifi мережі, що складається з безлічі точок доступу. Я вже писав про це, але пройшло більше року і дещо змінилося, корисно буде ще раз подивитися і перевірити на реальному прикладі.

Якщо у вас є бажання навчитися працювати з роутерами мікротік і стати фахівцем в цій галузі, рекомендую за програмою, заснованої на інформації з офіційного курсу MikroTik Certified Network Associate. Курс стоїть, всі подробиці читайте за посиланням.

Вступ

Як я вже сказав, у мене є матеріал на тему настройки capsman в mikrotik. У наш час у зв'язку зі швидкістю розвитку інформаційних технологій інформація дуже швидко застаріває. І хоча стаття все ще актуальна, її регулярно читають і використовують, зараз є що до неї додати.

Вийшла нова версія технології Controlled Access Point system Manager (CAPsMAN) v2. Я розповім трохи про неї. У своїй роботі буду спиратися на досвід попередньої статті і на офіційний Manual: CAPsMAN з сайту виробника мікротіков.

У моєму розпорядженні будуть 2 роутера RB951G-2HnD, які налаштовані відповідно до моїх рекомендацій на цю тему. Рекомендую на всякий випадок ознайомитися з ними, щоб було загальне уявлення про базові налаштуваннях роутерів. На одному з цих роутерів я настрою контролер точок доступу, іншу підключу до цього контролеру. Обидві точки утворюють єдину безшовну wifi мережу з автоматичним перемиканням клієнтів до найближчої точки.

Приклади з двох точок доступу буде досить для загального уявлення про роботу технології. Далі ця настройка лінійно масштабується на необхідну кількість точок доступу.

Що таке capsman v2

Для початку розповім, що таке capsman v2 і чим він відрізняється від першої версії. Відразу варто сказати, що сумісності між двома версіями немає. Якщо у вас контролер v2, то до нього можуть підключатися тільки точки доступу з такою ж версією. І навпаки - якщо у вас точки v2, підключитися до контролера першої версії не вийде.

CAPsMAN v2 має іншу назву пакета в системі - wireless-cm2. Він з'явився в системі починаючи з версії RouterOS v6.22rc7. У попередній версії назва - wireless-fp, він з'явився у версії v6.11. Якщо у вас немає нового пакета, поновіть версію прошивки mikrotik до останньої.

Список нововведень capsman v2:

• Можливість автоматично оновлювати керовані точки доступу.
• Удосконалено протокол обміну інформацією між контролером і точками доступу.
• Додані поля «Name Format» і «Name Prefix» в настройках Provision rules.
• Покращено логирование процесу перемикання клієнта від точки до точки.
• Доданий L2 Path MTU discovery.

Якщо у вас в мережі вже налаштований capsman, то розробники пропонують наступний шлях оновлення всієї вашої мережі до v2:

1. Налаштовуєте в вихідної мережі тимчасовий контролер capsman v2.
2. Починаєте поступово оновлювати керовані точки доступу для установки в них пакета wireless-cm2. Всі оновлені точки доступу будуть підключатися до тимчасового контролера.
3. Після того, як всі керовані точки доступу будуть оновлені до останньої версії, оновлюєте основний контролер capsman. Після того, як це станеться, виключаєте тимчасовий контролер.

Є простіший шлях, якщо вам не критичний простий мережі на деякий час. Одночасно запускайте оновлення на всіх роутерах - і на контролері і на точках. Як тільки вони оновляться, все запрацює на новій версії.

Відразу попереджаю, якщо виникнуть питання на цю тему. Я особисто не перевіряв оновлення до версії v2, не було в цьому необхідності.

Налаштування контролера wifi мережі

Переходимо від теорії до практики. Насамперед налаштуємо контролер capsman перед підключенням до нього точок доступу. Як я вже говорив, оновлюємо перед цим систему. У нас повинен бути встановлений і активований пакет wireless-cm2.

Щоб активувати функцію контролера бездротової мережі, йдемо в розділ CAPsMAN, натискаємо на Manager і ставимо галочку Enabled.

Перш ніж продовжити настройку, розповім трохи про принцип роботи системи. У мережі налаштовується контролер управління точками доступу. До нього підключаються окремі wifi точки і отримують з нього настройки. Кожна підключена точка доступу утворює віртуальний wifi інтерфейс на контролері. Це дозволяє стандартними засобами управляти трафіком на контролері.

Набори налаштувань на контролері можуть бути об'єднані в іменовані конфігурації. Це дозволяє гнучко управляти і призначати різні конфігурації різних точок. Наприклад, можна створити групу з глобальними настройками для всіх точок доступу, але при цьому окремим точкам можна задати додаткові налаштування, які будуть перезаписувати глобальні.

Після підключення керованої точки до майстра мережі, всі локальні wireless настройки на клієнті перестають діяти. Вони замінюються настройками capsman v2.

Продовжимо налаштування контролера. Створимо новий радіоканал і вкажемо його параметри. Йдемо на вкладку Channels, тиснемо на плюсик і вказуємо параметри.

Опис налаштувань Channels Name ім'я каналу Frequency частота в MHz, вона ж номер каналу 1-12 Width смуга в MHz Band режим роботи Extension Channel настройки extension channel, докладніше про них тут Tx. Power потужність сигналу в Dbm

Списку в налаштуваннях немає і це незручно. Підглянути настройки можна в поточних параметрах Wifi, якщо він вже налаштований.

Продовжуємо настройки на вкладці Datapaths. Тиснемо плюсик і задаємо параметри.

Опис параметрів Datapath Bridge в який бридж буде додано інтерфейс в якості порту Bridge Cost значення bridge port cost, наспіл тільки якщо АКТВ параметр bridge Bridge Horizon значення bridge horizon, наспіл тільки якщо АКТВ параметр bridge Local Forwarding управляє параметром forwarding mode Client To Client Forwarding управляє параметром client-to-client forwarding між клієнтами керованої точки доступу, якщо ввімкнено функцію local-forwarding цим параметром керує сама точка доступу, в іншому випадку контролер Vlan Mode керує призначенням VLAN tag для інтерфейсу Vlan Id який VLAN ID буде назн чен інтерфейсу, якщо vlan-mode встановлений в use tag

Трохи затримаюсь на параметрі local-forwarding. Якщо він активований, то всім трафіком клієнтів точки доступу управляє сама точка. І більшість налаштувань datapath не використовуються, так як контролер не керує трафіком. Якщо цей параметр не встановлено, то весь трафік з клієнтів надходить на контролер мережі і там управляється залежно від налаштувань. Якщо вам необхідний трафік між клієнтами, то вкажіть параметр Client To Client Forwarding.

Переходимо до налаштувань безпеки. Відкриваємо вкладку Security Cfg. і тиснемо плюсик.

Опис налаштувань Securiry name ім'я конфігурації Authentication type вибір типу авторизації Encryption вибір алгоритму unicast encryption Group Encryption вибір алгоритму group encryption Passphrase WPA or WPA2 pre-shared key Eap Methods вибір типу авторизації Eap Radius Accounting вимагати авторизації Radius TLS Mode управління використання сертифіката TLS Certificate вибір сертифіката , якщо його використання активовано в попередньому параметрі

Прийшов час об'єднати створені раніше настройки в єдину конфігурацію. Таких конфігурацій може бути кілька з різними настройками. Для прикладу досить і одного. Йдемо на вкладку Configurations і тиснемо плюсик.

На першій вкладці Wireless вказуємо ім'я конфігурації, режим ap і ім'я SSID майбутньої безшовної wifi мережі. На інших вкладках просто вибираємо створені раніше налаштування.

Основні настройки mikrotik контролера capsman v2 закінчені. Тепер потрібно створити правила поширення цих налаштувань. Як я вже раніше писав, різних точок можна зраджувати різні конфігурації. Контролер може ідентифікувати точки доступу за такими параметрами:

• Якщо використовуються сертифікати, то по полю Common name сертифіката.
• В інших випадках використовуються MAC адреси точок у форматі XX: XX: XX: XX: XX: XX

Так як в своєму випадку я не використовую сертифікати, створимо правило поширення налаштувань на основі MAC адреси. А так як у мене єдина конфігурація для всіх точок, то і правило поширення буде найпростіше. Зробимо його. Переходимо на вкладку Provisioning і тиснемо плюсик.

Опис налаштувань Provisioning Radio Mac MAC адреса точки доступу Hw. Supported Modes не зрозумів для чого це, в документації порожньо Identity Regexp в документації теж нічого немає Commom Name Regexp і про це немає IP Address Ranges і про це теж Action вибір дії з радіо інтерфейсом після підключення Master Configuration вибір оснвних конфгіураціі, яка буде застосована до створюваному радіо інтерфейсу Slave Configuration другорядна конфігурація, можна підключити ще один конфиг клієнтам Name Format визначає синтаксис назв для створюваних CAP інтерфейсів Name Prefix префікс для імен створюваних CAP інтерфейсів

На цьому настройка контроллера capsman v2 закінчена, можна підключати wifi точки доступу до нього.

Підключення точок доступу

У моєму оповіданні беруть участь дві точки доступу з адресами 192.168.1.1 (Mikrotik) і 192.168.1.3 (CAP-1), з'єднані між собою по ethernet кабелю. Перша з них контролер, друга проста точка. Обидві точки бачать один одного в локальній мережі. Wifi інтерфейс контролера так само як і звичайної точки підключається до capsman і бере у нього настройки. Тобто контролер є одночасно і контролером і рядовий точкою доступу. Навіть комбінація з двох точок організовує повноцінну безшовну wifi мережу на всій площі, яку покривають їх радіо модулі.

Підключення точок доступу CAP до контролера CAPsMAN можливо за двома різними протоколами - Layer 2 або Layer 3. У першому випадку точки доступу повинні бути розташовані фізично в одному сегменті мережі (фізичної або віртуальної, якщо це L2 тунель). У них не обов'язково налаштовувати ip адресацію, вони знайдуть контролер по MAC адресу.

У другому випадку підключення буде по протоколу IP (UDP). Потрібно налаштувати IP адресацію і організувати доступність точок доступу і контролера по IP адресам.

Для початку підключимо окрему wifi точку. Підключаємося до неї через winbox і переходимо в розділ Wireless. Там натискаємо на CAP і вказуємо налаштування.

Опис налаштувань CAP Interfaces інтерфейс, яким управлятиме контролер Certificate сертифікат для авторизації, якщо використовується Discovery Interfaces інтерфейс, за яким CAP буде шукати контролер Lock to CAPsMAN прив'язати точку до конкретного майстру CAPsMAN Addresses IP адреса по якому CAP буде шукати контролер CAPsMAN Names ім'я контролера, який буде шукати CAP, якщо не вказано нічого, то пошук по імені не здійснюється CAPsMAN Certificate Commo Names список CommonNames сертифікатів на контролері, які перевірятиме CAP при підключенні Bridge bridge, до якого буде підключатися ін терфейс, коли включена опція local forwarding

У моєму випадку я вказав конкретний IP контролера, так як ip адресація налаштована. Якщо ви хочете по l2 підключати точки до контролера, то поле з адресою капсман залишаємо порожнім, а в Discovery Interfaces вибираєте інтерфейс, який підключений до контролера. Якщо вони в одному фізичному сегменті мережі, то точка автоматично знайде майстер.

Зберігаємо налаштування і перевіряємо. Якщо точка доступу коректно підключиться до контролера, то на самій точці буде така картина:

А на контролері в списку Interfaces з'явиться щойно створений радіо інтерфейс підключеної точки доступу:

Якщо у вас по точка доступу вперто не підключається до контролера і ви ніяк не можете зрозуміти, в чому проблема, то насамперед перевірте, що у вас активовані на всіх пристроях пакети wireless-cm2. У мене вийшло так, що після поновлення на одній з точок було включено пакет wireless-fp, замість необхідного. Точка доступу ні в яку не хотіла підключатися до контролера, що я тільки не пробував. Я і її контролером робив, інша не хотіла до неї підключатися. Я скинув всі налаштування, але і це не допомогло. Коли зовсім зневірився вирішити проблему, перевірив версію пакету і виявив, що вона не та.

Проробимо тепер те ж саме на самому mikrotik контролері - підключимо його wifi інтерфейс до capsman v2. Робиться це абсолютно так само, як тільки що виконали на окремій точці wifi. Після підключення дивимося картинку на контролері. Повинно бути приблизно так:

Все, основні настройки закінчені. Тепер цю конфігурацію можна розгортати далі на нові точки доступу та покривати більшу площу єдиної безшовної wifi мережею. Всі підключені клієнти будуть відображатися на вкладці Registration Table із зазначенням точки, до якої вони підключені.

Для зручного і наочного аналізу мережі рекомендується придумати осмислену схему призначення імен точок доступу і радіо інтерфейсів.

Перевірка роботи безшовного wifi роумінгу

Тепер можна взяти телефон на андроїд, поставити на нього програму Wifi Analyzer і походити по всій покривається wifi території, протестувати потужність сигналу, перемикання від точки до точки. Перемикання відбувається не відразу, як тільки сигнал нової точки буде сильніша за попередню. Якщо різниця не дуже велика, то перемикання до нової не відбудеться. Але як тільки різниця починає бути істотною, клієнт перескакує. Цю інформацію можна спостерігати на контролері.

Після аналізу зони покриття можна підкоригувати потужність точок доступу. Іноді може бути корисно налаштувати різну потужність на різних точках, в залежності від схеми приміщень. Але в загальному і цілому навіть в базовому налаштуванні все працює цілком стабільно і якісно. До даних моделям мікротік (RB951G-2HnD) можуть підключатися і комфортно працювати по 10-15 чоловік. Далі можуть бути нюанси в залежності від навантаження. Ці цифри я привів зі своїх прикладів реальної роботи.

2 мережі в capsman на прикладі гостьовий wifi

Розглянемо для прикладу одну поширену ситуацію, яку можна реалізувати за допомогою технології capsman. У нас налаштована безшовна мережа wifi з авторизацією по паролю. Нам потрібно на ці ж точки доступу додати ще одну гостьову мережу для відкритого доступу. В одиночному mikrotik це робиться за допомогою Virtual AP. Зробимо те ж саме в capsman.

Для цього потрібно додати нову настройку безпеки. Йдемо в Security Cfg. і створюємо налаштування для доступу без пароля. Називаємо її open.

Створюємо ще одну конфігурацію, в якій всі інші настройки залишаємо ті ж самі, тільки міняємо SSID і настройку безпеки.

Йдемо на вкладку Provisioning, відкриваємо раніше створену конфігурацію і додаємо туди в параметрі Slave Configuration нашу другу конфігурацію, яку ми тільки що зробили.

Зберігаємо зміни. Тут я почекав кілька секунд, нова установка не поширилася на точки. Я не став чекати, зайшов на кожну точку і перепідключитися її до контролера. Можливо цього не потрібно було робити, а треба було почекати. Не знаю, зробив як є. Нова установка поширилася і в кожній точці доступу з'явилася нова мережа типу Virtual AP з відкритою wifi мережею.

На контролері при цьому додалися ще 2 віртуальних інтерфейсу, по одному на кожну нову мережу.

Перевірив на всякий випадок роботу - все в порядку. Підключає клієнтів одночасно до обох мереж і дозволяє працювати.

Я для прикладу роботи Virtual AP в capsman розглянув поточну ситуацію. Тут клієнтів гостьовій мережі підключає в той же бридж і адресний простір, що і користувачів закритої мережі. По хорошому треба зробити додаткові налаштування:

1. Створити на контролері для відкритої мережі окремий bridge, призначити йому свою підмережа і адреса в ній, додати в цей бридж другий wlan інтерфейс, який з'явиться після підключення до capsman з двома конфігураціями.
2. Налаштувати в цій підмережі окремий dhcp сервер з роздачею адрес тільки з цієї підмережі.
3. В налаштуваннях capsman в datapath створити окрему конфігурацію для відкритої мережі. У ній вказати новий bridge і не вибирати параметр local forwarding.
4. В конфігурації для відкритої мережі вибрати новий datapath.

Після цього всіх підключених до відкритої wifi мережі буде відправляти в окремий бридж, де буде свій dhcp сервер і адресний простір, відмінне від основної мережі. Не забудьте в dhcp перевірити настройки шлюзу і dns сервера, які ви будете передавати клієнтам.

висновок

Підіб'ємо підсумок виконаної роботи. На прикладі двох точок доступу Mikrotik RB951G-2HnD ми налаштували безшовний wifi роумінг на покривається цими точками площі. Площа ця легко розширюється додатковими wifi точками будь-якої моделі мікротік. Вони не обов'язково повинні бути однаковими, як це, наприклад, реалізовано в деяких конфігураціях Zyxell, які мені доводилося налаштовувати.

У цьому прикладі я розглянув практично найпростішу конфігурацію, але при цьому розписав всі налаштування і принцип роботи. На основі цих даних легко скласти і більш складні конфігурації. Тут немає якогось принципового ускладнення. Якщо зрозуміти, як це працює, то далі вже можна працювати і робити свої конфігурації.

Трафіком з точок доступу можна управляти так само, як і зі звичайних інтерфейсів. Працює весь базовий функціонал системи - firewall, маршрутизація, nat і т. Д. Можна робити бриджі, ділити адресний простір і багато іншого. Але варто враховувати, що при цьому трафік буде весь йти через контролер. Потрібно це розуміти і правильно розраховувати продуктивність і пропускну здатність мережі.

Мені самому Було б дуже цікаво порівняті технологію capsman v2 з аналогічнімі рішеннями від других віробніків. Своїми руками я налаштовував только конфігурації від Zyxell для вирішенню подібних завдання, но там все набагато гірше працює, незручно використовуват и Керувати. У мікротіке Вихід и дешевше, и швидше, и зручніше. Більше безшовного роумінгу я не налаштовував. Если у когось є подібний досвід, прошу Поділитися в коментарях. Тема ця актуальна на сьогоднішній день.

Корисні відгуки про роботу capsman

Трохи корисної інформації з відгуків до статті від реальних користувачів технології capsman:

Володимир, хороша стаття! Багато букв корисних! :) При налаштуванні capsman на підприємстві посилався на твою статтю - багато почерпнув, але трохи змінив. Зміни торкнулися вкладки «Channels» - прибрав позицію Frequency тому використання однієї частоти на всіх точках не рекомендував би, тому що поруч стоять точки починають «захлинатися» і відповідно виникають обриви з'єднання ... Мої користувачі скаржилися на низький рівень сигналу при знаходженні поряд з точкою доступу (а насправді були підключені до точки з поганим рівнем сигналу) ... для того щоб користувачі «стрибали» з точки на точку, яка має краще сигнал, вирішив зробити обмеження по порогу рівня сигналу, зробивши запис в вкладці AccessList. Значення вніс в SignalRange => -71..120 Interface => all Action => accept, цим домігся того що при досягненні сигналу нижче -71 абонент «залишає» точку :) Значення -71 взято не випадково (мінімальний рівень сигналу при швидкості 54Mbit ) Також у вкладці Provisioning змінив значення NameFormat, замість cap поставив identity (при підключенні до контролера показує назву точки яке прописано в system-> identity пристрої), у кого є реалізація в домашніх пристроях, тому може і не треба це, а у кого точки розкидані по великій території і їх багато - буде корисно :) Загалом спасибі велике і Вибачте за багато букв :)

І ще один відгук:

Стаття дуже хороша, але я б її доповнив / переробив в частині гостьовий wifi мережі:
1) розділив 2 wifi мережі з різних радіоканалах.
2) Для безпеки я б відокремив гостьову мережу від основної. З огляду на, що у вас гостьова мережа без пароля поламати вас захоче кожен студент зі смартфоном. Створюється бридж (bridge_open), призначається бриджу ip адреса з іншої мережі (192.168.200.1/24), створюється dhcp-pool (192.168.200.10-192.168.200.100), піднімається на створеному бриджі dhcp сервер, створюємо ще один Datapaths (Datapaths_open) в якому вказуємо створений бридж (bridge_open), для конфігурації гостьової мережі cfg2 застосовуємо Datapaths_open. Далі налаштовуємо NAT і firewall, щоб з гостьової мережі (192.168.200.0/24) в інтернет доступ був, а в локальну робочу блокувався (drop forward з 192.168.200.0/24 в локальну мережу).

Рекомендую корисні матеріали за схожою тематикою:

Відео настройки capsman

Онлайн курси по Mikrotik

Якщо у вас є бажання навчитися працювати з роутерами мікротік і стати фахівцем в цій галузі, рекомендую пройти курси за програмою, заснованої на інформації з офіційного курсу MikroTik Certified Network Associate. Крім офіційної програми, в курсах будуть лабораторні роботи, в яких ви на практиці зможете перевірити і закріпити отримані знання. Всі подробиці на сайті. Вартість навчання досить демократична, хороша можливість отримати нові знання в актуальній на сьогоднішній день предметної області. Особливості курсів:

• Знання, орієнтовані на практику;
• Реальні ситуації і завдання;
• Найкраще з міжнародних програм.

Допомогла стаття? Є можливість віддячити автора