Настройка CAPsMAN в роутерах Mikrotik

CAPsMAN — это средство централизованного управления точками доступа WiFi в оборудовании Mikrotik (контроллер точек доступа). Точки доступа подключенные к CAPsMAN все настройки для WiFi будут получать с него.

Преимущество централизованного управления точками доступа в том, что происходит организация бесшовного WiFi. Это значит что переключение между точками доступа с одинаковым SSID происходит незаметно для конечного пользователя.

Для организации такой схемы работы точек доступа WiFi необходимо понять следующее:

  1. Как происходит процесс подключения точки к CAPsMAN;
  2. Как настроить CAPsMAN на основном роутере;
  3. Как включить функцию CAP на точке доступа WiFi.

1. Процесс подключения точки WiFi к CAPsMAN.

Здесь будет немного теории, описывающей процессы подключения CAP к CAPsMAN. Самые нетерпеливые могут пропустить и приступить к непосредственной настройке со следующего пункта.

Подключение точки CAP к CAPsMAN может осуществляться на канальном уровне Layer2 используя mac-адреса и на сетевом уровне Layer3 используя ip-адреса. Подключение на основе Layer3 может пригодиться когда точка доступа и CAPsMAN находятся в разных сегментах сети.

Чтобы подключиться к CAPsMAN точка доступа запускает процесс обнаружения и создает список обнаруженных CAPsMAN. Обнаружение происходит с использованием:

  • Списка ip-адресов
  • списка CAPsMAN полученного от DHCP сервера
  • широковещательных запросов на уровне Layer 2 и Layer 3;

После построения списка доступных CAPsMAN точка выбирает к кому из них подключиться на основе следующих правил:

  • список имен разрешенных в CAPsMAN Names;
  • контроллер точек доступа доступный по MAC предпочтительнее доступного по IP.

После того как точка доступа CAP выбрала к какому контроллеру подключаться происходит процесс аутентификации. Возможны следующие варианты:

  • На CAPsMAN и CAP нет сертификатов — подключение без аутентификации;
  • Сертификат только у CAPsMAN — аутентификация возможна в случае следующей настройки на менеджере require-peer-certificate=no;
  • CAPsMAN и CAP имеют доверенные сертификаты — взаимная аутентификация.

В случае использования сертификата CAP может дополнительно проверить значение CommonName в сертификате от CAPsMAN. Параметр caps-man-certificate-common-names содержит список разрешенных значений CommonName. Если список пуст то CAP не будет проверять это поле CommonName.

В случае разрыва соединения между CAP и CAPsMAN потеря связи будет обнаружена через 10-20 секунд.

2. Настройка CAPsMAN.

Рассмотрим простейший способ настройки CAPsMAN, когда точки WiFi находятся в одной физической сети Layer 2 с контроллером и без использования сертификата.

На роутере, который будет выступать в качестве контроллера точек доступа WiFi, открываем меню настройки CAPsMAN.

В первую очередь в CAPsMAN необходимо создать конфигурацию, которая будет отправляться на подключенные точки доступа WiFi, и настроить следующие обязательные параметры:

  • Channels
  • Datapaths
  • Security Cfg.

CAPs Configuration — создание конфигурации.

Открываем вкладку Configurations и создаем новую конфигурацию.

Wireless.

  • Выбираем Mode — доступен только AP.
  • Вводим название вашей WiFi сети SSID.
настройка Wireless в конфигурации CAPsMAN

Channel.

Указываем обязательные параметры:

  • Frequency — частота вещания беспроводной сети. Здесь нет возможности выбора частот из списка, поэтому частоту нужно вписывать вручную. Для России 13 каналов с шагом в 5MHz: 2412, 2417, 2422, 2427, 2432 … 2472;
  • Control Channel Width — ширина вещания канала. Выбираем оптимальную для офиса 20MHz (оптимальное соотношение дальности сигнала и пропускной способности);
  • WiFi Band — группа стандартов WiFi. Предпочтительно использовать более современные и быстрые стандарты 2ghz-onlyn (802.11n), но если в сети есть довольно старые устройства работающие по стандартам 802.11b или 802.11g тогда лучше выбрать совместимый режим 2ghz-b/g/n.
Настройка Channel в конфигурации CAPsMAN

Datapath.

Переходим на вкладку Datapath. Здесь необходимо указать Bridge через который будет передаваться сетевой трафик между CAPsMAN и CAP. В стандартной конфигурации это bridge в котором объединены локальные порты.

Если активировать параметр LocalForwarding, то трафиком точки доступа будет управлять не CAPsMAN, а сама точка.

настройка Datapath в конфигурации CAPsMAN

Security Cfg.

  • Authentication Type — тип аутентификации, выбираем WPA2PSK;
  • Encryption — шифрование одноадресной рассылки aes ccm;
  • Passphrase — пароль для подключения к WiFi.
настройка Security в конфигурации CAPsMAN

На настройка конфигурации завершена, но хочется упомянуть способ использования шаблонов для конфигураций CAPsMAN.

Использование шаблонов настроек Channels, Datapaths, Security Cfg.

Обратите внимание в меню CAPsMAN так же есть вкладки Channel, Datapath и Security Cfg.

шаблоны Channel, Datapath, Security в конфигурации CAPsMAN

В этих вкладках так же можно задать все те же настройки и сохранить их в шаблон, который потом можно просто подключить в конфигурацию выбрав нужный шаблон. Например для Channel это будет выглядеть так:

подключение шаблона Channel  в конфигурации CAPsMAN

Добавляем Provisioning (правила обнаружения).

В разделе CAPs Provisioning задаются правила для поиска точек доступа.

Создадим простое правило, которое будет автоматически подключать к CAPsMAN любую обнаруженную в сети точку доступа WiFi.

Добавление правила обнаружения CAP

Radio MAC: 00:00:00:00:00:00;
Action: create dynamic enabled;
Master configuration: cfg1 — имя ранее созданной конфигурации;

настройки правила обнаружения CAP

Включаем CAPsMAN

Чтобы включить CAPsMAN нажимаем на кнопку Manager и отмечаем пункт Enabled.

Включение CAPsMAN

Для безопасности необходимо настроить интерфейсы, на которых CAPsMAN будет слушать точки доступа WiFi. Для этого нажимаем на кнопку Interfaces.

настройка интерфейсов прослушиваемых CAPsMAN

В стандартной конфигурации создано правило для всех интерфейсов all — его необходимо запретить. Выбираем это правило и отмечаем Forbid.

запрещаем CAPsMAN слушать все интерфейсы

Добавляем новое правило, которое указывает CAPsMAN слушать только локальные интерфейсы в bridge.

добавление интерфейса, который можно слушать CAPsMAN

3. Настройка CAP — контролируемой точки доступа WiFi.

Подключаемся через Winbox к точке доступа WiFi, открываем таблицу беспроводных интерфейсов Wireless и нажимаем кнопку CAP на панели инструментов.

подключение WiFi точки к CAPsMAN

Для успешной работы точки доступа WiFi совместно с CAPsMAN необходимо указать следующие настройки:

  • отмечаем пункт Enabled;
  • Interface — беспроводной интерфейс, который будет контролироваться CAPsMAN, например wlan1;
  • Discovery interface — интерфейс на котором CAP будет искать CAPsMAN;
  • Bridge — мост через который будет идти трафик.
настройки для подключения точки доступа WiFi к CAPsMAN

На этом настройка подключения точки доступа WiFi к CAPsMAN завершена.

Проверим смогла ли подключиться CAP к контроллеру.

Открываем CAPsMAN и смотрим таблицу CAP Interface. Здесь должны появиться все подключенные WiFi точки. На моем скриншоте видно 5 подключенных CAP c двумя интерфейсами на каждую — для основного WiFi интерфейса (Master) и виртуального WiFi (Slave).

список подключенных к CAPsMAN WiFi точек

Во вкладке Registration Table можно посмотреть подключенных к точкам WiFi клиентов.

список подключенных к CAPsMAN клиентов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *