(C) https://wiki.mikrotik.com/wiki/Manual:Simple_CAPsMAN_setup
(C) https://2keep.net/mikrotik-capsman-v2-hap-ac-lite/#_Channel_24_Ghz_20_Mhz
Перед настройкой CAPsMAN желательно обновить Firmware и RouterOS
В целях безопасности отключаем WPS
Непересекающиеся каналы в диапазоне 2.4Ghz - 1, 6 и 11
В РБ и РФ разрешены к использованию каналы 1 - 13, но айфоны не видят каналов 12 и 13, также Mikrotik(cAP 2nD) не работает с каналами 12 и 13. Поэтому, для того, чтобы не дискриминировать многочисленных пользователей Apple, будем исходить, из того, что в нашем распоряжении будут частоты с 1 по 11.
Настройки CAPsMAN на контроллере
1) CAPsMan ->Manager - чекбокс Enabled
2) На вкладке Channels задаем каналы - обязательно ли?
Name: ch2437
Frequency: 2437 (Mhz)
Control Channel Width: 20Mhz
Band: 2Ghz-b/g/n
Extension Channel: disabled
3) CAPs требует бриджа в качестве интерфейса, к которому будут подключаться точки доступа.
Поэтому заранее создаем бридж, в который помещаем ethernet-интерфейс, на который будет осуществляться физическое подключение наших точек доступа(через коммутатор), делаем все необходимые настройки(проверяем интерфейс в DHCP-сервере, убеждаемся, что там будет стоять создаваемый бридж; проверяем интерфейс в IP/addresses для подсети, соответствующей DHCP-серверу)
Пусть мы создали интерфейс bridge88
3а) На вкладке datapath определим, как будет ходить траффик от наших WiFi клиентов
name: datapath88
bridge: bridge88
Client To Client Forwarding: разрешено ли Wifi клиентам видеть друг-друга (выкл.)
Local Forwarding: Wi-Fi интерфейсы CAP’ов добавятся в бридж CAPsMAN’а и весь трафик со всех CAP’ов идет через CAPsMAN(выкл.)
3b) На вкладке Security Cfg создадим mySecurityProfile
name: mySecurityProfile
Authentication Type: WPA2 PSK
Encryption: aes ccm
Group Encryption: aes ccm
Passphrase: пароль
4) CAPsMAN / Configurations
Создаем конфигурацию
Name: myCFG
SSID: myWiFi
Country: Russia
Security: mySecurityProfile ()
Distance: dynamic
Hw. Protection Mode: rts cts
Tx Power: 15 (от 15 до 17) - в приоритете над этим же значением, заданным на вкладке Channels
Bridge: bridge88 или Datapath: datapath88
5) Указываем CAPsMan-у, чтобы он использовал конфигурацию myCFG
Provisioning - Add new
Action: create dynamic enabled
Master configuration: myCFG
Name Format: cap (после именования всех точек доступа через свойство identity, можно выставить identity)
6) Из соображений безопасности, указываем интерфейсы, на которых CAPsMan-у разрешено добавлять новые точки
CAP Interface / Manager / Interfaces
Add new
Interface: bridgeCAPsv - разрешаем добавлять точки доступа на этом интерфейсе
Редактируем запись для всех интерфейсов (all), проставив опцию Forbid в true
Настройка точки доступа для работы с CAPsMAN
1) Интерфейс, который подключается к CapsMan, должен быть в bridge
2) Для созданного бриджа нужно получить адрес от роутера, создав DHCP-клиента на нашем bridge, либо задать IP-адрес вручную
3) Включить CAP на Wireless Interface нашей точки доступа:
Wireless / CAP
То же самое через web-interface:
Заходим в Wireless / CAP и заполняем поля на картинке выше указанными значениями
Внимание!
Не рекомендуется (2) добавлять в bridge Wi-Fi интерфейсы. CAPsMAN в зависимости от настроек Local Forwarding в Datapath сам добавит или нет Wi-Fi интерфейсы в bridge.
При нахождении Wi-Fi интерфейса в bridge, могут быть проблемы и сообщения в логах:
bridge port received packet with own address as source address (4f:5e:0d:15:60:6s), probably loop
В конфигурации по умолчанию для CAP(Quick Set) Wi-Fi интерфейс присутствует, удаляем его оттуда:
Bridge / Ports - Remove
4) Задание статического адреса на точке доступа:
IP / DHCP Client
клиента на нашем bridge выключаем
IP / Addresses
Добавляем статический адрес для нашего интерфейса
Enabled: true
Address: 192.168.88.10/24
Network: 192.168.88.0
Interface: bridge
Не забываем прописать шлюз:
IP / Routes / Add New
Gateway: 192.168.88.248
5) Точка доступа не хочет обновляться
IP / DNS
Servers: 192.168.88.248 - адрес интерфейса корневого роутера, к которому подключена точка доступа
Задание индивидуальных настроек для точек доступа под управлением CAPsMAN
Полученные при помощи ранее сделанных настроек точки доступа являются динамически управляемыми и задать параметры для них мы не можем. В частности, у них будут одинаковые частоты, что не очень хорошо, особенно если точки находятся рядом с друг другом.
CAPsMAN / CAP Iterface
а) winbox - выбираем нашу динамическую точку (DRSMB), копируем ее, заполняем в копии Name(вполне достаточно)
б) веб-интерфейс:
в веб-интерфейсе скопировать CAP-интерфейс нельзя, создаем новый, заранее скопировав MAC-адрес нашего динамического интерфейса, который мы превращаем в статический. Заполняем поля name, MAC Address(copy paste), Radio MAC(copy paste), Master Interface (none), configuration (myCFG)
После копирования точки(в данным MAC-адресом) динамическая точка исчезает. Заходим в определенный CAP_interface и делаем необходимую нам отдельную настройку канала. Все настройки будут браться от конфигурации, индивидуальные настройки сделанные в канале будут иметь приоритет над настройками общей конфигурации. Так, к примеру, мы можем индивидуально задать Channel и Tx Power
Затем нужно передать статическую конфигурацию на нашу точку:
Remote Cap - выбираем точку доступа, входим в диалог, нажимаем Provision
или
Radio - выбираем точку доступа, входим в диалог, нажимаем Provision (удобнее)
Примечание.
При введении в эксплуатацию заранее настроенной системы клиентские устройства не хотели подключаться. "Избавлением" стало изменение частотного канала через CAPsMAN / CAP interface
Отключение клиента от точки на основании уровня сигнала
CAPsMAN / Access List
Создаем два правила для подключния-отключения от точек доступа:
-120..-75 - Reject
-74-120 - Accept
Allow Signal Out Of Range - 10 сек. для правила Reject
Allow Signal Out Of Range - 10 сек. для правила Accept? или always
Изоляция подсети WLAN от LAN
IP / FireWall
Правило:
Forward
Src. Address: 192.168.88.0./24 (WLAN)
Dst. Address: 192.168.xx.0./24 (LAN)
Src. Address List: ! CAPs88 (CAPs88 - список IP-адресов точек доступа, к которым мы хотим иметь доступ из LAN)
Action: drop
Нужно поставить это правило выше, чем defconf: fasttrack для forward