Меню
Контакты
109147, Москва, ул.Воронцовская, 35Б, корп.2 офис.11, 4 этаж
Пн-Пт: с 9-00 до 17-00   Сб-вс: выходной
Интернет-магазин
сетевого оборудования
Москва +7 (495) 103-41-03 +7 (915) 420-28-94
109147, Москва, ул.Воронцовская, 35Б, корп.2 офис.11, 4 этаж
Пн-Пт: с 9-00 до 17-00   Сб-вс: выходной
Заказать звонок

Домашняя беспроводная сеть на Mikrotik. Часть вторая: используем возможности CAPsMAN v2

 26 Фев 2017    MikroTik, О настройках и установке оборудования производителя Mikrotik, Практика и программирование MikroTik

В рамках предыдущей публикации мы рассматривал пример ручной настройки беспроводной сети. Под ручной настройкой подразумевалась индивидуальная настройка каждой точки доступа. Такой метод имеет как свои преимущества, так и свои недостатки.

Один из главных недостатков предыдущего метода состоит в том, что при необходимости изменить пароль или создать дополнительный SSID (Virtual AP) вам потребуется выполнить правку настроек каждого устройства. К тому же, в случае «ручной» настройки вы будете лишены возможности просматривать список всех подключенных клиентов из единого меню.

В данной публикации мы рассмотрим процесс настройки беспроводной сети при помощи контроллера CAPsMAN.

Помните, CAPsMAN может работать на устройствах, у которых беспроводного интерфейса нет вообще. Это означает, что CAPsMAN можно использовать на любых маршрутизаторах Mikrotik.

Процесс настройки мы опишем на примере все того же hEX PoE, а также точек доступа wAP и wAP ac. Ранее мы уже обновили RouterOS в наших устройствах до версии 6.38.1, поэтому дальнейшая настройка будет выполняться на актуальной, на момент написания, версии.

Активация менеджера точек доступа

Первым делом включаем CAPsMAN. Переходим в одноименный раздел меню слева и нажимаем кнопку «Manager», здесь нам необходимо установить опцию «Enabled» (включен).

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

Остальные параметры для домашней сети не используются. При необходимости, для корпоративных сетей можно использовать сертификаты, причем Mikrotik может сгенерировать сертификат самостоятельно.

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

В случае использования сертификатов, выбираем «auto», и устанавливаем опцию запроса сертификата у подключающегося устройства (Require Peer Sertificate).

После принятия изменений, через несколько секунд вы увидите названия сгенерированных сертификатов чуть ниже.

Создание каналов в CAPsMAN

Приступаем к созданию каналов. Рекомендую заранее создать все каналы, чтобы позднее к этому не возвращаться,  достаточно будет просто выбирать каналы из списка.

Для диапазона 2.4 ГГц мы создали 11 каналов:

1.     2412

2.     2417

3.     2422

4.     2427

5.     2432

6.     2437

7.     2442

8.     2447

9.     2452

10.  2457

11.  2462

Создание каналов осуществляется в одноименной вкладке Channels. В качестве имени мы использовании префикс 2G и суффикс ChX, таким образом, в списке выбора по имени мы будем знать диапазон и номер канала.

Ширину канала указываем 20 МГц, в поле Band можно указать стандарт, который будет использоваться. Т.к. у нас нет старых ноутбуков и адаптеров, смело ставим 2ghz-onlyn, т.е. использование только стандарта 802.11n. Если же у вас есть старые устройства - используйте смешанные режимы 2ghz-b/g, 2ghz-g/n или 2ghz-b/b/n.

Поле Extension Channel используется для стандарта 802.11n, который допускает использование широких каналов по 40 МГц. Для 802.11n следует использовать «Ec» либо «eC», т.е. расширение соответственно вниз либо вверх по отношению к основному каналу. Нижние каналы следует расширять вверх, верхние - вниз.

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

Относительно диапазона 5 ГГц не всё так просто. К примеру, точки доступа wAP ac поддерживают широкий диапазон от 5150 до 5875 МГц, чего не сказать про клиентские устройства - во многих смартфонах и адаптерах поддержка сильно урезана. Так что заранее уточните, какие частоты в диапазоне 5 ГГц поддерживаются вашими устройствами, после чего добавьте соответствующие каналы.

Домашняя беспроводная сеть на Mikrotik. Часть вторая: используем возможности CAPsMAN v2

При использовании диапазона 5 ГГц можно задействовать старые стандарты 802.11 a/n либо новый стандарт 802.11ac. Старые стандарты позволяют использовать ширину канала 20/40 МГц, в то время как новый стандарт допускает ширину канала до 80 МГц.

Для 5 ГГц вполне разумным будет использование стандартов a/n/ac, а не только 802.11ac. При расширении каналов до 80 МГц следует указывать Ceee/eCee/eeCe/eeeC, но эта настройка будет применима исключительно для AC.

Обратите внимание, если вы захотите использовать ширину канала в 40 МГц - используйте расширители Ec/eC. В обоих случая базовая ширина канала указывается как 20 МГц, помните это!

Суть этих сокращений понять очень просто: С - главный канал, e = extension channel, т.е. дополнительный расширяющий канал. Комбинация этих символов указывает, куда и насколько расширять канал. Например, eCee добавит 20 МГц ниже и 40 МГц выше от основного канала.

Реальный пример: основная частота 5100 МГц и режим eCee, итого получаем 5080-5100-5120-5140 (шаг в 20 МГц). Поскольку указывается центральная несущая канала, сам канал будет в диапазоне 5070-5150 МГц (т.е. -/+ 10 МГц от несущих крайних каналов).

К чему всё это? Если точки доступа у вас пересекаются - настоятельно рекомендуется разнести их на непересекающиеся каналы. В случае с 2.4 ГГц это каналы 1, 6 и 11.

С целью упрощения, можно использовать единый канал на всех точках, но в случае пересечения и одновременной работы вы не получите максимум от возможной скорости канала.

Настройка путей

После настройки каналов необходимо создать «Datapath» (дословно «путь данных»). Делается это во вкладке Datapaths.

Домашняя беспроводная сеть на Mikrotik. Часть вторая: используем возможности CAPsMAN v2

По сути, здесь настраивается, каким образом будет осуществляться обмен трафиком. Имя можно задать любое, далее в списке бриджей необходимо выбрать нужный бридж, куда требуется засунуть точки доступа.

В нашем случае бридж всего один, в нем будут пользователи, подключенные как по кабелю, так и по воздуху. Если вы используете несколько бриджей с разными подсетями, именно здесь и производится ассоциация САРов с бриджем. К примеру, в отдельном бридже может быть отдельный DHCP со своей подсетью, который изолирован от основной сети и предоставляет исключительно доступ к сети интернет.

Далее нас интересуют две дополнительные опции: Local Forwarding и Client To Client Forwarding.

Начнем с последней опции, если вкратце, она разрешает или запрещает обмен данными между клиентами. Для частной сети вполне логично разрешить беспроводным клиентам обмениваться данными. В случае с открытой сетью такой обмен следует запрещать, чтобы исключить сканирование сети злоумышленником на предмет наличия других клиентов.

Опция Local Forwarding позволяет разгрузить контроллер от необходимости управления всем трафиком, позволяя каждой отдельной точке доступа управлять трафиком своих клиентов. В случае, если опция отключена, точки доступа будут отправлять все данные на центральный контроллер, что повысит загрузку сети и самого контроллера.

При использовании VLAN, ассоциация проводится именно здесь в разделе Datapaths.

Настройка безопасности беспроводной сети

Как вы уже догадались, настройка параметров безопасности осуществляется во вкладке Security Cfg.

Домашняя беспроводная сеть на Mikrotik. Часть вторая: используем возможности CAPsMAN v2

Настройку выполняем согласно скриншоту, тип безопасности - WPA2 + AES, это наиболее защищенный вариант из всех доступных.

Пароль следует указать в поле Passphrase, используйте сложный пароль из комбинации строчных и прописных букв, а также цифр.

На этом создание профилей завершено, можно приступать к созданию конфигурации.

Создание конфигурации

При создании беспроводной сети с двумя диапазонами, следует создать 2 отдельные конфигурации - первая для 2.4 ГГц, вторая для 5 ГГц.

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

Открываем вкладку Configurations и создаем новую запись.

  • Name: название конфигурации по своему усмотрению;
  • Mode: ap;
  • SSID: название беспроводной сети
  • Country: выбираем страну для того, что Mikrotik скорректировал мощность радиомодуля согласно региональных стандартов;
  • HT Tx Chains: выбираем три все канала;
  • HT Rx Chains: выбираем три все канала;

Домашняя беспроводная сеть на Mikrotik. Часть вторая: используем возможности CAPsMAN v2

Во вкладке Channel выбираем заранее созданный канал для диапазона 2.4 ГГц. Как видите, можно было настроить все параметры прямо здесь. Наличие профиля упрощает конфигурирование при конфигурации большого количества точек доступа.

Обратите внимание! Если вы хотите разнести каналы на точках - необходимо создать несколько конфигураций с несколькими выбранными каналами.

Домашняя беспроводная сеть на Mikrotik. Часть вторая: используем возможности CAPsMAN v2

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

Для Datapath и Security по аналогии выбираем заранее созданные профили.

Для диапазона 5 ГГц всё аналогично, только выбираем соответствующий канал из диапазона 5 ГГц.

Домашняя беспроводная сеть на Mikrotik. Часть вторая: используем возможности CAPsMAN v2

В нашем случае для примера используются 2 точки доступа, одна из которых поддерживает два диапазона, поэтому конфигураций у нас 3: 2 конфигурации для двух точек на 2.4 ГГц, одна конфигурация для 5 ГГц.

Для большого количества точек достаточно создать по 2-3 конфигурации на диапазон. Далее выбирать их в «шахматном» порядке, таким образом, чтобы каналы не пересекались на соседних АР.

Управление точками доступа

Для того чтобы настроить управление удаленными точками доступа и имеющимися на них беспроводными интерфейсами, необходимо создать соответствующие правила во вкладке Provisioning.

Если у вас всего одна конфигурация для всех точек доступа - в поле Radio МАС оставьте значение 00:00:00:00:00:00 и контроллер будет применять единую конфигурацию для всех МАС-адресов.

Домашняя беспроводная сеть на Mikrotik. Часть вторая: используем возможности CAPsMAN v2

В нашем случае конфигураций несколько, поэтому мы привяжем к каждой точке свою настройку. Всё, что нам для этого требуется - указать МАС точки.

В поле Action (действие) следует выбрать «create dynamic enabled».

При необходимости, можно использовать Slave-конфигурации, что позволит создать несколько SSID на точку (Virtual AP).

Обратите внимание. Для того, чтобы одному устройству с двумя радиомодулями (Dual-Band) передать конфигурацию для 2.4 и 5 ГГц, необходимо создать 2 раздельные провижина, каждый из которых привязать к МАС самого WLAN (wlan1 и wlan2 имеют разные МАС-адреса)

Домашняя беспроводная сеть на Mikrotik. Часть вторая: используем возможности CAPsMAN v2

В итоге у нас получилось 3 правила. Советуем использовать комментарии, в последующем это существенно упростит администрирование.

На этом настройка контроллера завершена, можно приступать к настройке самих устройств.

Подключаем AP к CAPsMAN

Подключаемся к первой точке доступа и выбираем режим CAP при помощи QuickSet, после чего режим изменится на Ethernet. По сути, это режим бриджа.

Домашняя беспроводная сеть на Mikrotik. Часть вторая: используем возможности CAPsMAN v2

Далее переходим во вкладку Wireless и нажимаем на кнопку «CAP», опция Enabled активирует настройки ниже.

В поле Interfaces выбираем оба имеющиеся интерфейса, сразу же отмечаем запрос сертификата (Certificate: request) и выбираем существующий бридж.

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

При первом подключении у нас ничего не получится. Причина в том, что мы заранее указали запрос сертификата на контроллере. Точка доступа не смогла предоставить контроллеру действующий сертификат, поэтому контроллер отказал в подключении.

Домашняя беспроводная сеть на Mikrotik. Часть вторая: используем возможности CAPsMAN v2

Необходимо вернуться в настройки CAPsMAN и отключить запрос сертификата. После того как все точки получат сертификаты, опцию можно будет повторно активировать. Для домашней беспроводной сети особой пользы от использования сертификатов нет. В случае с корпоративными сетями, наличие сертификата защищает от несанкционированного добавления АР.

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

При необходимости, вы можете явно задать IP капсмана (например, при работе через Layer 3), в противном случае точка доступа будет самостоятельно искать контроллер в сети Layer 2.

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

После отключения запроса сертификата на капсмане, видим, что точка получила сертификат. Всё работает.

Повторяем процедуру для второй точки доступа. После того, как все точки будут подключены к контроллеру и получат свои сертификаты, в настройках контроллера повторно активируем запрос сертификата. Больше к контроллеру не сможет подключиться ни одно устройство, не имеющее соответствующего сертификата.

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

Домашняя беспроводная сеть на Mikrotik: пример полностью ручной настройки

Если всё проделано верно, контроллер увидит точки доступа, а сами точки получат соответствующие параметры.

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

К слову, все подключенные радионтерфейсы будут отображаться в списке интерфейсов на самом контроллере.

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

Повышаем удобство администрирования

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

Для всех правил конфигурации (provision) лучше добавить комментарии, иначе вам придется подсматривать МАС-адреса точек при внесении изменений в конфиг.

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

Если вы используете правила в том виде, в каком советуют во многих инструкциях, в списке интерфейсов все ваши точки будут отображаться как capX - ориентироваться в таких интерфейсах будет сложно, согласитесь.

Используйте параметры «Name Format» и «Name Prefix». Первый параметр выставляем в «prefix identity», т.е. в названии интерфейса будет использоваться префикс + Identity устройства. В качестве префикса можно, к примеру, указывать APx (AP1, AP2, AP3...), либо 2G/5G - как вам удобнее.

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

В нашем случае, я заранее для каждой точки задал уникальные и понятные идентификаторы - AP1_wAPac и AP2_wAP. Такое название очень удобно, ведь вы сразу определите номер точки и модель устройства.

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

При использовании параметра «Local Forwarding» (в профиле Datapath), все клиенты будут видны только на отдельных точках, при этом список регистраций на контроллере будет пуст, что не удобно.

Домашняя беспроводная сеть на Mikrotik. Часть вторая: используем возможности CAPsMAN v2

Отключаем локальный форвардинг, после чего точки доступа будут переинициализированы.

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

Теперь в таблице регистраций мы видим всех клиентов со всех точек.

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

Для того, чтобы точки доступа каждый раз не получали другой IP от DHCP-сервера, можно выполнить резервирование/сопоставление MAC:IP.

Открываем IP - DHCP Server, вкладка Leases. Находим наши точки доступа по MAC/Identity и правой кнопкой мышки вызываем контекстное меню, в котором выполняем действие «Make Static». Далее можно указать любой желаемый IP для каждой точки доступа. В моем случае это 192.168.0.11 и 192.168.0.12.

Домашняя беспроводная сеть на Mikrotik. Часть вторая: используем возможности CAPsMAN v2

Работа с ACL не сильно отличается о того, как это делается при ручном конфигурировании беспроводной сети. Правда, в случае с CAPsMAN, RouterOS предоставляет куда больше возможностей.

Если используете ACL - создавайте 2 правила, первое правило с «action: reject» (отклонить), второе с «action: accept» (принять).

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

При этом, как и ранее, для каждого зарегистрированного клиента в качестве комментария будет использоваться комментарий из правила ACL. Т.е. система будет указывать, на основании чего выдано разрешение на подключение.

Не пренебрегайте вышеперечисленными возможностями, они здорово упростят вашу жизнь.

Централизированное обновление RouterOS на CAP

Одно из важных изменений, реализованных в CAPsMAN v2 - удаленное обновление точек доступа.

Настройка политики выполняется в том же меню, что и активация менеджера CAPsMAN. Отвечают за обновление 2 параметра: package-path и upgrade-policy, по-умолчанию оба они отключены/пустые.

В поле package-path необходимо указать путь к директории, в которой будут храниться файлы *.npk, в противном случае, если директория не задана, контроллер может попытаться предоставить удаленным точкам свои пакеты.

Домашняя беспроводная сеть на Mikrotik. Часть вторая:  используем возможности CAPsMAN v2

Обратите внимание. Если контроллер у вас на архитектуре ARM (например, RB3011), а точки доступа - mipsbe, обновление будет невозможно из файлов самого контроллера. Именно для таких случаев и нужен вышеназванный параметр, путь указывается в формате /updates.

Upgrade Policy может принимать следующие значения:

  • none - действие не требуется;
  • require-same-version - требовать ту же версию. CAPsMAN попытается обновить RouterOS на CAP и, если обновление не удастся, контроллер откажется выполнять настройку точки.
  • suggest-same-version - CAPsMAN попытается обновить RouterOS на CAP. При этом, даже в случае неудачи, контроллер выполнит настройку устройства.

Домашняя беспроводная сеть на Mikrotik. Часть вторая: используем возможности CAPsMAN v2

Бесшовный роуминг на Mikrotik

Пара слов о бесшовном роуминге на Mikrotik, если кратко - его нет и никогда не было, ни на Mikrotik ни на Ubiquiti UniFi. Причем Ubiquiti уже достаточно давно отказались от своего Zero-Handoff, т.к. он не дал желаемых результатов.

Роуминг от одной AP к другой AP, как и ранее - прерогатива самого клиента. Именно клиент решает, когда ему переходить на другую точку, а когда нет. Стандарты 802.11a/b/g/n/ac, к сожалению, не предусматривают возможности сообщить клиенту о ближайших AP и уровне их загрузки.

Использование ACL - скорее принуждение клиента «силой», поскольку выполняет агрессивное отключение клиента, после чего следует разрыв связи на 1-5 сек. И, опять же, в случае с ACL, нет никаких гарантий, что клиент переключится на ту же инфраструктуру, да и подключится ли вообще. На практике, клиент может подключиться на точку с большим уровнем сигнала, к которой он ранее уже подключался. К тому же, чувствительность клиентов сильно отличается, поэтому некоторые клиенты могут отваливаться раньше других.

По возможности, использование ACL стоит избегать, а если и используете - указывайте значения -85 дБм и ниже. В противном случае, при плотном размещении и низком пороге отключения, клиент будет метаться между точками. В зависимости от ПО, клиент может вообще прекратить попытки подключения к некоторым АР после нескольких неудач. Дело в том, что после нескольких неудач клиент будет игнорировать точку по МАС, еще позже - по SSID.

В случае с роумингом на базе 802.11r/802.11k (который в Mikrotik не поддерживается), точка сообщает клиенту о том, что достигнут предел RSSI, а также предоставляет список доступных точек. После этого клиент пытается найти другую точку и установить с ней связь, если этого не произошло, клиент остается на старой точке. При этом переключение между точками не превышает 50 мс (чаще 10-12мс), что не приводит к обрывам связи. Существует также метод PMK Caching (OKC) с переключением в пределах 100 мс. Независимо от метода, переключение совершается только после сканирования на предмет доступных АР.

Первая часть: Домашняя беспроводная сеть на Mikrotik: пример полностью ручной настройки

Используемый материал