Подключить Mikrotik RB951Ui-2HnD к CAPsMAN

Posted by

Ввиду того, что не смог достаточно быстро насобирать на квартиру, где моего роутера RB2Схема работы с использованием CAPsMAN011UiAS-2Hnd (v6.37.3) мне бы хватило за глаза, как для домашнего использования, экспериментов, изучения, но не судьба. Но я не расстраиваюсь на этот счет, вместо его я живу в собственном доме и это намного лучше коробки c ограниченным пространством, сейчас у меня есть участок и дом на нем. А такое большое пространство предполагает, что все должно быть в подвластном доступе к сети интернет и ресурсам (Видеонаблюдению (Motion + ZoneMinder), FreePBX (Asterisk), умному дому (об этом я поведаю чуточку позже и тому что у меня применяется) моей локально вычислительной сети.
Так вот, как я давно приобщился к устройствам фирмы Mikrotik, то значит и все расширение будет строиться на их основе.
Вот мне понадобилось развернуть в дедовском доме Wi-Fi, а чтобы это сделать приложил кабель до него и поставил там (v6.38.1) и дабы не плодить кучу различных настроек для организации беспроводного доступа я завел его в чтобы все настройки были едиными и легко распространяемыми.
Итого схема следующая:

Оптика → Главный Mikrotik (eth0) RB2011UiAS-2Hnd (v6.37.3)(eth0) Mikrotik RB951Ui-2Hnd (Wi-Fi)

Решение:

Подключаюсь со своего рабочего места Ubuntu 14.04.5 Desktop (Gnome Classic) ноутбука Lenovo E555 посредством утилиты winbox к подключаемому Mikrotik RB951Ui-2Hnd и активирую, что все настройки по получению конфигурации Wi-Fi брать с главного:
winbox — IP&MAC (192.168.1.129) — User&PASS — Wireless — вкладка Interfaces настройка CAP:

  • Enabled: отмечаю галочкой
  • Interface: wlan1
  • Discovery Interface: eth1

Настройки приняли вид:

Mikrotik RB951Ui-2Hnd настроек что для Wi-Fi настроек получать их через CAPsMAN

Теперь открываю еще одну консоль командной строки и подключаюсь через Winbox к главному с которого осуществляется управление всеми точками доступа посредством интерфейса управления → CAPsMAN
winbox — IP&MAC (192.168.1.9) — CAPsMAN — вкладка Interfaces — настройка Manager

  • Enabled: отмечаю галочкой

После нажимаю Apply & OK

После все также находясь в настройках CAPsMAN переключаюсь на вкладку Remote CAP я должен увидеть подключенную точку доступа так оно и есть.

Mikrotik RB951Ui-2Hnd успешно подключился к Mikrotik RB2011UiAS-2Hnd

Теперь создаю настройки все также на главном Mikrotik для Wi-Fi сети которые прикреплю к точке с именем DOM-1
winbox — IP&MAC (192.168.1.9) — user&pass — переходим в BridgeAdd

  • Name: Bridge_Wifi_Dom-1

и нажимаем Apply — OK

после переходим в IP — Addresses — Add

  • Address: 192.168.10.1/24
  • Interface: Bridge_Wifi_Dom-1

и нажимаем Apply — OK

Настраиваем, что выдачей IPадресов при подключении к данной точке доступа будет заниматься DHCPсервер:

IP — DHCP Server — DHCP Setup:

  • DHCP Server Interface: Bridge_Wifi_Dom-1
  • DHCP Address Space: 192.168.10.0/24
  • Gateway for DHCP Network: 192.168.10.1
  • Addresses to Give Out: 192.168.10.10-192.168.10.20
  • DNS: оставляем по умолчанию (они от провайдера)
  • Lease Time: 00:10:00

Затем переходим уже собственно в: CAPsMAN где во вкладке Interface вижу подключенное устройство, переименовываю его в любое именование отражающее суть где стоит данная железка

Интерфейс для работы CAPsMAN успешно создан

E4:8D:8C:B6:6B:99 (для последующих конфигурацией нужно будет на основе этого MAC адреса изменять к примеру так: 89, 88,87)

Затем переходим уже собственно в: CAPsMAN где во вкладке Security Cfg. — Add

  • Name: dom-1
  • Authentication Type: WPA2 PSK
  • Encryption: aes ccm
  • Group Encryption: aes ccm
  • Passphrase: Aa1234567+

и нажимаем Apply — OK
после перехожу во вкладку Channels (меню CAPsMAN) — Add и создаю новую конфигурацию:

  • Name: channel_dom-1
  • Frequency: 2459
  • Width: 20
  • Band: 2ghz-b/g/n
  • Extension Channel: disabled
  • Tx. Power: 20

после перехожу во вкладку Datapath (меню CAPsMAN) — Add и создаю новую конфигурацию:

  • Name: datapath_dom-1
  • Bridge: Bridge_Wifi_DOM_1

после перехожу во вкладку Configurations (меню CAPsMAN) — Add и создаю новую конфигурацию, вкладка Wireless

  • Name: cfg_dom-1
  • Mode: ap
  • SSID: dom-1
  • Max Station Count: 5

вкладка Channel:

  • Channel: channel_dom-1 (выбираю, т. к. создал выше)

вкладка Datapath:

  • Datapath: datapath1_dom-1 (выбираю, т. к. создал выше)

вкладка Security:

  • Security: dom-1 (выбираю, т. к. создал выше)

Отлично на этом настройки окончены.
Теперь нужно на интерфейс добавленного устройства (Mikrotik RB951Ui-2Hnd) нацепить конфигурацию созданную выше:

Interface — выделяем cap1 -Add — Interfaces — вкладка Genaral:

  • Name: CAP1-DOM-1
  • MAC ADDRESS: E4:8D:8C:B6:6B:98
  • RADIO MAC: E4:8D:8C:B6:6B:98
  • Master Interface: cap1

В итоге получиться следующее:

На интерфейс CAP1 навешана конфигурация параметров Wi-Fi сети

ну а дальне нужно в новом интерфейсе прописать настройки конфигурации Wi-Fi
Вкладка Wireless

  • Configuration: cfg_dom-1

Вкладка Channel

  • Channel: channel_dom-1

Вкладка Datapath

  • Datapath: datapath1_dom-1

Вкладка Security

  • Security: dom-1

и нажимаю Apply — OK

Теперь проверяю со своего телефона (Huawei Honor C5), что включив Wifiмодуль я вижу точку доступа с именем SSID равным dom-1, выбираю ее и ввожу пароль: Aa1234567+ и нажимаю «Подключить», успешно подключен.
Увидеть кто подключен к какой точке доступа можно на главном Mikrotik если открыть через winbox меню CAPsMAN вкладка Registration Table

Мой смартфон успешно подключился к Mikrotik RB951Ui-2Hnd на котором работает созданная конфигурация Wi-Fi

Если же нужно, а это нужно подключаться из основной сети к той что за Wi-Fi подключение, то на главном Mikrotik нужно прописать маршрут до нее:

IP — Routes — Add

  • Dst. Address: 192.168.10.0/24
  • Gateway: 192.168.1.129 (IP адрес Mikrotik RB951Ui-2Hnd)

Проверяю:

[ekzorchik@mikrotik] > ping 192.168.10.20

SEQ HOST SIZE TTL TIME STATUS

0 192.168.10.20 56 64 50ms

1 192.168.10.20 56 64 251ms

sent=2 received=2 packet-loss=0% min-rtt=50ms avg-rtt=150ms max-rtt=251ms

Как видно пакеты ходят, а значит и я со своего ноутбука смогу получить к этой сети доступ:

ekzorchik@server:~$ ping 192.168.10.20

PING 192.168.10.20 (192.168.10.20) 56(84) bytes of data.

64 bytes from 192.168.10.20: icmp_seq=1 ttl=63 time=3.86 ms

64 bytes from 192.168.10.20: icmp_seq=2 ttl=63 time=251 ms

Итого: я получил в свое расположение сеть на устройствах Mikrotik, задействование технологии CAPsMAN где могу создать различные конфигурации для Wi-Fi сетей и получать к ним доступ и они ко мне, если же нужно запретить доступ из них в главную сеть, то делаем правило на главном Mikrotik:

IP — Firewall — Address Lists — Add

  • Name: NoNetwork
  • Address: 192.168.1.181

IP — Firewall — вкладка Filter Rules — Add — вкладка General

  • Chain: forward
  • Src. Address: 192.168.10.0/24

вкладка Advanced

  • Dst. Address List: ! NoNetwork

вкладка Action

  • Action: drop

Теперь если с мобильного устройства посредством различных приложений (PingTools) выполнить ICMP запрос в основную сеть, к примеру узлу 192.168.1.181, то ничего не удастся. Только не надо указывать всю подсеть иначе доступа в интернет также не будет.
Меня такая возможность и работа устраивает, но вот последнее правило мне не к чему, да и подобрать пароли к моим различным Wi-Fi сетям для различных целей будет проблематично, если мне срочно понадобится закрытая сеть, то я ее создам на подобии как я уже делал в этой заметке.
Вот собственно и всё, может показать что все сложно, но нет — Вам же достаточно купить себе Mikrotik и начать хотя бы повторять заметки за мной, а после вы уже сами будете строить сети/безопасность как Вам будет удобнее с уважением автор блога Олло Александр aka ekzorchik.