Mikrotik-CAPsMan

(C) https://wiki.mikrotik.com/wiki/Manual:Simple_CAPsMAN_setup

(C) https://2keep.net/mikrotik-capsman-v2-hap-ac-lite/#_Channel_24_Ghz_20_Mhz

Перед настройкой CAPsMAN желательно обновить Firmware и RouterOS

В целях безопасности отключаем WPS

Непересекающиеся каналы в диапазоне 2.4Ghz - 1, 6 и 11

В РБ и РФ разрешены к использованию каналы 1 - 13, но айфоны не видят каналов 12 и 13, также Mikrotik(cAP 2nD) не работает с каналами 12 и 13. Поэтому, для того, чтобы не дискриминировать многочисленных пользователей Apple, будем исходить, из того, что в нашем распоряжении будут частоты с 1 по 11.

Настройки CAPsMAN на контроллере

1) CAPsMan ->Manager - чекбокс Enabled

2) На вкладке Channels задаем каналы - обязательно ли?

Name: ch2437

Frequency: 2437 (Mhz)

Control Channel Width: 20Mhz

Band: 2Ghz-b/g/n

Extension Channel: disabled

3) CAPs требует бриджа в качестве интерфейса, к которому будут подключаться точки доступа.

Поэтому заранее создаем бридж, в который помещаем ethernet-интерфейс, на который будет осуществляться физическое подключение наших точек доступа(через коммутатор), делаем все необходимые настройки(проверяем интерфейс в DHCP-сервере, убеждаемся, что там будет стоять создаваемый бридж; проверяем интерфейс в IP/addresses для подсети, соответствующей DHCP-серверу)

Пусть мы создали интерфейс bridge88

3а) На вкладке datapath определим, как будет ходить траффик от наших WiFi клиентов

name: datapath88

bridge: bridge88

Client To Client Forwarding: разрешено ли Wifi клиентам видеть друг-друга (выкл.)

Local Forwarding: Wi-Fi интерфейсы CAP’ов добавятся в бридж CAPsMAN’а и весь трафик со всех CAP’ов идет через CAPsMAN(выкл.)

3b) На вкладке Security Cfg создадим mySecurityProfile

name: mySecurityProfile

Authentication Type: WPA2 PSK

Encryption: aes ccm

Group Encryption: aes ccm

Passphrase: пароль 

4) CAPsMAN / Configurations 

Создаем конфигурацию

Name: myCFG

SSID: myWiFi

Country: Russia

Security: mySecurityProfile ()

Distance: dynamic

Hw. Protection Mode: rts cts

Tx Power: 15 (от 15 до 17) - в приоритете над этим же значением, заданным на вкладке Channels

Bridge: bridge88 или Datapath: datapath88

5) Указываем CAPsMan-у, чтобы он использовал конфигурацию myCFG

Provisioning - Add new 

Action: create dynamic enabled

Master configuration: myCFG

Name Format: cap (после именования всех точек доступа через свойство identity, можно выставить identity)

6) Из соображений безопасности, указываем интерфейсы, на которых CAPsMan-у разрешено добавлять новые точки

CAP Interface / Manager / Interfaces

Add new

Interface: bridgeCAPsv - разрешаем добавлять точки доступа на этом интерфейсе

Редактируем запись для всех интерфейсов (all), проставив опцию Forbid в true

Настройка точки доступа для работы с CAPsMAN

1) Интерфейс, который подключается к CapsMan, должен быть в bridge

2) Для созданного бриджа нужно получить адрес от роутера, создав DHCP-клиента на нашем bridge, либо задать IP-адрес вручную

3) Включить CAP на Wireless Interface нашей точки доступа:

Wireless / CAP 

То же самое через web-interface:

Заходим в Wireless / CAP и заполняем поля на картинке выше указанными значениями

Внимание!

Не рекомендуется (2) добавлять в bridge Wi-Fi интерфейсы. CAPsMAN в зависимости от настроек Local Forwarding в Datapath сам добавит или нет Wi-Fi интерфейсы в bridge.

При нахождении Wi-Fi интерфейса в bridge, могут быть проблемы и сообщения в логах:

bridge port received packet with own address as source address (4f:5e:0d:15:60:6s), probably loop

В конфигурации по умолчанию для CAP(Quick Set) Wi-Fi интерфейс присутствует, удаляем его оттуда:

Bridge / Ports - Remove

4) Задание статического адреса на точке доступа:

IP / DHCP Client 

клиента на нашем bridge выключаем

IP / Addresses

Добавляем статический адрес для нашего интерфейса 

Enabled: true

Address: 192.168.88.10/24

Network: 192.168.88.0

Interface: bridge

Не забываем прописать шлюз:

IP / Routes / Add New

Gateway: 192.168.88.248

5) Точка доступа не хочет обновляться 

IP / DNS

Servers: 192.168.88.248 - адрес интерфейса корневого роутера, к которому подключена точка доступа

Задание индивидуальных настроек для точек доступа под управлением CAPsMAN

Полученные при помощи ранее сделанных настроек точки доступа являются динамически управляемыми и задать параметры для них мы не можем. В частности, у них будут одинаковые частоты, что не очень хорошо, особенно если точки находятся рядом с друг другом.

CAPsMAN / CAP Iterface 

а) winbox - выбираем нашу динамическую точку (DRSMB), копируем ее, заполняем в копии Name(вполне достаточно)

б) веб-интерфейс:

в веб-интерфейсе  скопировать CAP-интерфейс нельзя, создаем новый, заранее скопировав MAC-адрес нашего динамического интерфейса, который мы превращаем в статический. Заполняем поля name, MAC Address(copy paste), Radio MAC(copy paste), Master Interface (none), configuration (myCFG)

После копирования точки(в данным MAC-адресом) динамическая точка исчезает. Заходим в определенный CAP_interface и делаем необходимую нам отдельную настройку канала. Все настройки будут браться от конфигурации, индивидуальные настройки сделанные в канале будут иметь приоритет над настройками общей конфигурации. Так, к примеру, мы можем индивидуально задать Channel и Tx Power

Затем нужно передать статическую конфигурацию на нашу точку:

Remote Cap - выбираем точку доступа, входим в диалог, нажимаем Provision

или 

Radio - выбираем точку доступа, входим в диалог, нажимаем Provision (удобнее)

Примечание. 

При введении в эксплуатацию заранее настроенной системы клиентские устройства не хотели подключаться. "Избавлением"  стало изменение частотного канала через CAPsMAN / CAP interface

Отключение клиента от точки на основании уровня сигнала

CAPsMAN / Access List 

Создаем два правила для подключния-отключения от точек доступа:

-120..-75 - Reject

-74-120 - Accept

Allow Signal Out Of Range - 10 сек. для правила Reject

Allow Signal Out Of Range - 10 сек. для правила Accept? или always

Изоляция подсети WLAN от LAN

IP / FireWall

Правило:

Forward

Src. Address: 192.168.88.0./24 (WLAN)

Dst. Address: 192.168.xx.0./24 (LAN)

Src. Address List: ! CAPs88 (CAPs88 - список IP-адресов точек доступа, к которым мы хотим иметь доступ из LAN)

Action: drop

Нужно поставить это правило выше, чем defconf: fasttrack для forward