Как настроить CAPsMAN на Mikrotik’е

Posted by

В свое время когда я разворачивал или больше сказать только шел к этому, чтобы организовать бесшовный доступ к беспроводной сети Wifi — мне пришлось к моей радости познакомиться с таким единым центром управления, как CAPsMAN от . Данная технология позволяет управлять всей Wifi инфраструктурой с одной консоли, создавать описания сетей, назначать уровень доступа и т. д., но самое главной это простота настройки — чем проще чем лучше. Зачем городить огород задействованных технологий и настроек если можно все упростить. Так вот я для себя в первую очередь задокумментирую все шаги которые я прошел в тестовых условиях, а уже потому перенес все на боевое развертывание.

Итак: есть:

  • mikrotik hEX PoE lite (RB750Pr2) (порт №1 Internet подключен к локальной сети или интернету) к нему посредством PoE подключены из:,
  • mikrotik SXT 2 (SXTG-2HnD) 5 порта в порт 1 на данном устройстве
  • mikrotik RB951Ui-2HnD 4 порт в порт один единственный на данном устройстве

Для главном устройстве будет сделано следующее:

на 5 порт поднят свой DHCP сервис (192.168.99.1/24)

на 4 порт также будет поднят свой DHCP сервис (192.168.100.1/24)

Захожу через winbox На 10.7.8.95 устройства mikrotik hEX PoE Lite где произвожу дефолтные настройки, обновляю устройство до самого последнего релиза на момент написания данной заметки.

[admin@MikroTik] > system routerboard print

routerboard: yes

model: RouterBOARD 750UP r2

serial-number: 5BBD053CA76F

firmware-type: qca9530L

current-firmware: 3.27

upgrade-firmware: 3.27

[admin@MikroTik] > system package print

Flags: X - disabled

# NAME VERSION SCHEDULED

0 routeros-mipsbe 6.33.1

1 system 6.33.1

2 X wireless-cm2 6.33.1

3 X ipv6 6.33.1

4 X wireless-fp 6.33.1

5 hotspot 6.33.1

6 dhcp 6.33.1

7 mpls 6.33.1

8 routing 6.33.1

9 ppp 6.33.1

10 security 6.33.1

11 advanced-tools 6.33.1

Поднимаю на 5 порту DHCP сервис и на втором 4 порту DHCP сервис.

За основу беру ранее опубликованную заметку.

После согласно каждому порту подключаю устройства.

Теперь я плавно перехожу к настройке функционала по управлению всеми точками доступа с одного главного устройства. Т.е. получить функционал организации прозрачного wifi роуминга с использование множества точек на площади ихнего размещения.

Для решения поставленной задачи мне потребуется:

Шаг №1: активировать функцию контроллера wifi для работы с CAPsMAN.

На главном устройстве через утилиту управления winboxsystempackages, выделяю пакет wireless-cm2 и нажимаю Enable, а для пакета wireless-fp нажимаю disable, либо все тоже самое но через терминал:

winbox — New Terminal

[admin@MikroTik] > system package enable wireless-cm2

[admin@MikroTik] > system package disable wireless-fp

далее через MAC Telnet с основного устройства подключаюсь на другие два и проделываю точно такие же шаги по включению/выключению пакета wifi этими действиям я активирую

На заметку: Пакет wireless-cm2 помечается как активный, но активируется только после перезагрузки устройства. Winbox — system — reboot или [admin@MikroTik] > system reboot

После перезагрузки подключившись к главному устройству появится меню управления по объединению в единую конфигурацию всеми wifi устройствами (только производителя Mikrotik)

Меню по управлению Wifi сетями - CAPsMAN

В данном меню и происходит настройка управляемыми точка доступа кои являются два других устройства.

Захожу в данное меню CAPsMAN на главном устройстве, активирую его:

winbox — CAPsMAN — вкладка InterfacesManager и ставим галочку Enable

Активирую CAPsMAN

Все также находясь в меню CAPsMAN перехожу на вкладку Channel и создаю новый канал (Add)

Name: channel

Frequency: 2422 MHz

Width: 20 MHz

Band: 2ghz-b/g/n

Extension Channel: Ce

Tx. Power: 17

Создаю канал работы точки доступа

после перехожу на вкладку: DatapathsAdd

Name: datapath1

Bridge: bridge1

Привязываю к интерфейсу

На заметку:

  • Если установлена птичка «Local Forwarding»CAPклиент локально перенаправляет данные с беспроводного интерфейса в bridge на самом же клиенте.
  • Если установлена птичка «Client to Client Firwarding«, то клиенты могут «видеть друг друга». Если не установлена — клиенты друг друга не видят, но видят устройства с подсети в которую они входят.

после перехожу на вкладку Security Cfg. — Add

Name: security1

Authentication Type: WPA2 PSK

Encryption: aes ccm

Group Encryption: aes ccm

Passphrase: 712mbddr@

Указываю параметры аутентификации на точке доступа

Все выше это были дефолтные настройки. Следом я объединяю их всех в одну единую конфигурацию посредством перехода на вкладку Configuration — Add во вкладке Wireless

Name: cfg1

Mode: ap

SSID: test

Country: russia

Max Station Count: 15

HT Tx Chains: ставлю везде галочки чтобы задействать обе антенны

HT Rx Chains: ставлю везде галочки чтобы задействать обе антенны

А во вкладке Channel

  • Channel: подставляю из списка channel

А во вкладке Datapath

  • Datapath: подставляю из списка datapath1

А во вкладке Security

  • Security: подставляю из списка security1

Теперь нужно сделать правило распространения данной конфигурации на другие подконтрольные точки доступа (у меня их две), все также находясь в меню CAPsMAN теперь уже перехожу на вкладку Provisioning — Add

Radio MAC: 00:00:00:00:00:00 (по дефолту)

Action: create dynamic enabled

Master Configuration: выбираю конфигурацию которую настроил выше в частности cfg1

Данными шагами я настроил управляющее устройство, теперь нужно остальные два других устройства подключить к главному. Чтобы со своего рабочего места сети 10.7.8.0/24 можно было подключиться через winbox к тем двум другим устройства находящимися за главным нужно настройки routing, захожу через winbox на 10.7.8.1 — IP — Routes — Add — вкладка General

Dst. Address: 192.168.99.0/24

Gateway: 10.7.8.95 — указываю IP адрес главного устройства которое по настроенному DHCP на портах к уже подключенным к нему wifi точкам выдает IP адреса.

Уже после этих манипуляций я могу со своего рабочего места сети 10.7.8.0/24 через клиент winbox подключиться к точкам доступа или же настраивать их через консоль командной стройки главного устройства (10.7.8.95) — IP — Neighbors — и через правый клик на соединениях интерфейсов 4 & 5

Через прописанный маршртут теперь можно достучаться до точек доступа

посредством MAC telnet подключиться к ним с дефолтными значения login & pass настроить подключение к серверной части CAPsMAN, в рамках этой заметки я поступлю, как настройка через winbox.

На 192.168.100.254 — Wireless — во вкладке Interfaces, захожу в CAP, включаю и подключаю:

Enabled: отмечаю галочкой

Interface: wlan1

CAPsMAN Addresses: 10.7.8.95

Bridge: none

все также находясь на вкладке Interface обнаруживаю красную надпись свидетельствующую что данное устройство успешно подключилось к управляющему центру CAPsMAN и приняло конфигурационный файл настроек для организации сети с именем test.

Надпись красным цветом говорит что точка доступа подключена через CAPsMAN

По аналогии настраиваю и другое устройство.

Посмотреть какие точки доступа подключены к сервису CAPsMAN можно открыв на нем:

winbox — 10.7.8.95 — CAPsMAN — вкладка Remote CAP

Список точек доступа подключенных к CAPsMAN

Но вспомнил одно но, я забыл также поднять DHCP сервис для Wifi на каждом из устройств Mikrotik которые подключил к сервису CAPsMAN, если бы wifi устройства не были бы подключены через CAPsMAN то нужно было бы на каждом из них поднять службу DHCP Server, но у меня ведь настроена единая конфигурация, а потому сервис DHCP Server для сети test я поднимаю на главном устройстве (т. е. 10.7.8.95)

Чтобы :

winbox — 10.7.8.95 — CAPsMAN — вкладка Radio

  • E4:8D:8C:BC:3D:B3 (MAC адрес на обороте устройства соответствует SXT 2 (SXTG-2HnD))
  • E4:8D:8C:C4:B3:ED (MAC адрес на обороте устройства соответствует RB951Ui-2HnD)

Узнать на каком интерфейсе сейчас каждое подключенное устройство через CAP

Настраиваю DHCP Server для интерфейсов CAP1 & CAP2, как оказалось в процессе чтения и изучения, что так ничего не получится, а чтобы получилось шаги следующие:

Создаем Bridge (можно сказать что создаем интерфейс)

winbox — 10.7.8.95 — Bridge — Add — именую его к примеру, как bridge2

после вешаю на него созданную сеть

winbox — 10.7.8.95 — IP — Addresses — Add

  • Address: 192.168.101.1/24
  • Network: 192.168.101.0

Interface: указываю созданный интерфейс bridge2

настраиваю NAT

winbox — 10.7.8.95 — IP — Firewall — вкладка NAT — Add

  • General: chain: srcnat
  • Out. Interface: ether1 (интерфейс с которым соединено устройство с общей сетью 10.7.8.0/24)
  • Action: Action: masquerade

настраиваю dhcp сервер теперь уже для интерфейса bridge2 который будет привязан wifi с индентификатором test

winbox — 10.7.8.95 — IP — DHCP Server — через мастер DHCP Setup и вешаем сеть 192.168.101.1/24 на bridge2

Чтобы в wifi сети был доступ в интернет:

winbox — 10.7.8.95 — IP — Routes — Add

  • Dst. Address: 0.0.0.0/0
  • Gateway: 10.7.8.1

winbox — 10.7.8.95 — IP — DNS

нужно чтобы стояла галочка: Allow Remote Requests

В итоге после всех настроек мобильник успешно подключился с точке доступа с идентификатором test и получил адрес из диапазона 192.168.101.1/24. Заметка и изучение повысили меня в своих собственных глазах да и практический опыт лучше всякого объяснения.

Мобильник Sony Xperia ZL получил IP адрес: 192.168.101.254, доступ в интернет есть.

На этом я прощаюсь с читателями моего блога, с уважением автор — ekzorchik.