В свое время когда я разворачивал или больше сказать только шел к этому, чтобы организовать бесшовный доступ к беспроводной сети Wifi — мне пришлось к моей радости познакомиться с таким единым центром управления, как CAPsMAN от Mikrotik. Данная технология позволяет управлять всей Wifi инфраструктурой с одной консоли, создавать описания сетей, назначать уровень доступа и т. д., но самое главной это простота настройки — чем проще чем лучше. Зачем городить огород задействованных технологий и настроек если можно все упростить. Так вот я для себя в первую очередь задокумментирую все шаги которые я прошел в тестовых условиях, а уже потому перенес все на боевое развертывание.
Итак: есть:
- mikrotik hEX PoE lite (RB750Pr2) (порт №1 Internet подключен к локальной сети или интернету) к нему посредством PoE подключены из:,
- mikrotik SXT 2 (SXTG-2HnD) 5 порта в порт 1 на данном устройстве
- mikrotik RB951Ui-2HnD 4 порт в порт один единственный на данном устройстве
Для главном устройстве будет сделано следующее:
на 5 порт поднят свой DHCP сервис (192.168.99.1/24)
на 4 порт также будет поднят свой DHCP сервис (192.168.100.1/24)
Захожу через winbox На 10.7.8.95 устройства mikrotik hEX PoE Lite где произвожу дефолтные настройки, обновляю устройство до самого последнего релиза на момент написания данной заметки.
[admin@MikroTik] > system routerboard print
routerboard: yes
model: RouterBOARD 750UP r2
serial-number: 5BBD053CA76F
firmware-type: qca9530L
current-firmware: 3.27
upgrade-firmware: 3.27
[admin@MikroTik] > system package print
Flags: X - disabled
# NAME VERSION SCHEDULED
0 routeros-mipsbe 6.33.1
1 system 6.33.1
2 X wireless-cm2 6.33.1
3 X ipv6 6.33.1
4 X wireless-fp 6.33.1
5 hotspot 6.33.1
6 dhcp 6.33.1
7 mpls 6.33.1
8 routing 6.33.1
9 ppp 6.33.1
10 security 6.33.1
11 advanced-tools 6.33.1
Поднимаю на 5 порту DHCP сервис и на втором 4 порту DHCP сервис.
За основу беру ранее опубликованную заметку.
После согласно каждому порту подключаю устройства.
Теперь я плавно перехожу к настройке функционала по управлению всеми точками доступа с одного главного устройства. Т.е. получить функционал организации прозрачного wifi роуминга с использование множества точек на площади ихнего размещения.
Для решения поставленной задачи мне потребуется:
Шаг №1: активировать функцию контроллера wifi для работы с CAPsMAN.
На главном устройстве через утилиту управления winbox — system — packages, выделяю пакет wireless-cm2 и нажимаю Enable, а для пакета wireless-fp нажимаю disable, либо все тоже самое но через терминал:
winbox — New Terminal
[admin@MikroTik] > system package enable wireless-cm2
[admin@MikroTik] > system package disable wireless-fp
далее через MAC Telnet с основного устройства подключаюсь на другие два и проделываю точно такие же шаги по включению/выключению пакета wifi этими действиям я активирую
На заметку: Пакет wireless-cm2 помечается как активный, но активируется только после перезагрузки устройства. Winbox — system — reboot или [admin@MikroTik] > system reboot
После перезагрузки подключившись к главному устройству появится меню управления по объединению в единую конфигурацию всеми wifi устройствами (только производителя Mikrotik)
В данном меню и происходит настройка управляемыми точка доступа кои являются два других устройства.
Захожу в данное меню CAPsMAN на главном устройстве, активирую его:
winbox — CAPsMAN — вкладка Interfaces — Manager и ставим галочку Enable
Все также находясь в меню CAPsMAN перехожу на вкладку Channel и создаю новый канал (Add)
Name: channel
Frequency: 2422 MHz
Width: 20 MHz
Band: 2ghz-b/g/n
Extension Channel: Ce
Tx. Power: 17
после перехожу на вкладку: Datapaths — Add
Name: datapath1
Bridge: bridge1
На заметку:
- Если установлена птичка “Local Forwarding” – CAP–клиент локально перенаправляет данные с беспроводного интерфейса в bridge на самом же клиенте.
- Если установлена птичка “Client to Client Firwarding“, то клиенты могут “видеть друг друга”. Если не установлена – клиенты друг друга не видят, но видят устройства с подсети в которую они входят.
после перехожу на вкладку Security Cfg. – Add
Name: security1
Authentication Type: WPA2 PSK
Encryption: aes ccm
Group Encryption: aes ccm
Passphrase: 712mbddr@
Все выше это были дефолтные настройки. Следом я объединяю их всех в одну единую конфигурацию посредством перехода на вкладку Configuration — Add во вкладке Wireless
Name: cfg1
Mode: ap
SSID: test
Country: russia
Max Station Count: 15
HT Tx Chains: ставлю везде галочки чтобы задействать обе антенны
HT Rx Chains: ставлю везде галочки чтобы задействать обе антенны
А во вкладке Channel
- Channel: подставляю из списка channel
А во вкладке Datapath
- Datapath: подставляю из списка datapath1
А во вкладке Security
- Security: подставляю из списка security1
Теперь нужно сделать правило распространения данной конфигурации на другие подконтрольные точки доступа (у меня их две), все также находясь в меню CAPsMAN теперь уже перехожу на вкладку Provisioning — Add
Radio MAC: 00:00:00:00:00:00 (по дефолту)
Action: create dynamic enabled
Master Configuration: выбираю конфигурацию которую настроил выше в частности cfg1
Данными шагами я настроил управляющее устройство, теперь нужно остальные два других устройства подключить к главному. Чтобы со своего рабочего места сети 10.7.8.0/24 можно было подключиться через winbox к тем двум другим устройства находящимися за главным нужно настройки routing, захожу через winbox на 10.7.8.1 — IP — Routes — Add — вкладка General
Dst. Address: 192.168.99.0/24
Gateway: 10.7.8.95
— указываю IP адрес главного устройства которое по настроенному DHCP на портах к уже подключенным к нему wifi точкам выдает IP адреса.
Уже после этих манипуляций я могу со своего рабочего места сети 10.7.8.0/24 через клиент winbox подключиться к точкам доступа или же настраивать их через консоль командной стройки главного устройства (10.7.8.95) — IP — Neighbors — и через правый клик на соединениях интерфейсов 4 & 5
посредством MAC telnet подключиться к ним с дефолтными значения login & pass настроить подключение к серверной части CAPsMAN, в рамках этой заметки я поступлю, как настройка через winbox.
На 192.168.100.254 — Wireless — во вкладке Interfaces, захожу в CAP, включаю и подключаю:
Enabled: отмечаю галочкой
Interface: wlan1
CAPsMAN Addresses: 10.7.8.95
Bridge: none
все также находясь на вкладке Interface обнаруживаю красную надпись свидетельствующую что данное устройство успешно подключилось к управляющему центру CAPsMAN и приняло конфигурационный файл настроек для организации сети с именем test.
По аналогии настраиваю и другое устройство.
Посмотреть какие точки доступа подключены к сервису CAPsMAN можно открыв на нем:
winbox — 10.7.8.95 — CAPsMAN — вкладка Remote CAP
Но вспомнил одно но, я забыл также поднять DHCP сервис для Wifi на каждом из устройств Mikrotik которые подключил к сервису CAPsMAN, если бы wifi устройства не были бы подключены через CAPsMAN то нужно было бы на каждом из них поднять службу DHCP Server, но у меня ведь настроена единая конфигурация, а потому сервис DHCP Server для сети test я поднимаю на главном устройстве (т. е. 10.7.8.95)
Чтобы :
winbox — 10.7.8.95 — CAPsMAN — вкладка Radio
E4:8D:8C:BC:3D:B3 (MAC адрес на обороте устройства соответствует SXT 2 (SXTG-2HnD))
E4:8D:8C:C4:B3:ED (MAC адрес на обороте устройства соответствует RB951Ui-2HnD)
Настраиваю DHCP Server для интерфейсов CAP1 & CAP2, как оказалось в процессе чтения и изучения, что так ничего не получится, а чтобы получилось шаги следующие:
Создаем Bridge (можно сказать что создаем интерфейс)
winbox — 10.7.8.95 — Bridge — Add — именую его к примеру, как bridge2
после вешаю на него созданную сеть
winbox — 10.7.8.95 — IP – Addresses — Add
- Address: 192.168.101.1/24
- Network: 192.168.101.0
Interface: указываю созданный интерфейс bridge2
настраиваю NAT
winbox — 10.7.8.95 — IP — Firewall — вкладка NAT — Add
- General: chain: srcnat
- Out. Interface: ether1 (интерфейс с которым соединено устройство с общей сетью 10.7.8.0/24)
- Action: Action: masquerade
настраиваю dhcp сервер теперь уже для интерфейса bridge2 который будет привязан wifi с индентификатором test
winbox — 10.7.8.95 — IP — DHCP Server — через мастер DHCP Setup и вешаем сеть 192.168.101.1/24 на bridge2
Чтобы в wifi сети был доступ в интернет:
winbox — 10.7.8.95 — IP — Routes — Add
- Dst. Address: 0.0.0.0/0
- Gateway: 10.7.8.1
winbox — 10.7.8.95 — IP — DNS
нужно чтобы стояла галочка: Allow Remote Requests
В итоге после всех настроек мобильник успешно подключился с точке доступа с идентификатором test и получил адрес из диапазона 192.168.101.1/24. Заметка и изучение повысили меня в своих собственных глазах да и практический опыт лучше всякого объяснения.
Мобильник Sony Xperia ZL получил IP адрес: 192.168.101.254, доступ в интернет есть.
На этом я прощаюсь с читателями моего блога, с уважением автор — ekzorchik.