Настройка MikroTik CAPsMAN v2 на hAP ac (2.4 ГГц и 5 ГГц) с роумингом (Handover)

Автор: Андрей Торженов

Обновление от:

wifi_map

Упрощенная схема CAPsMAN сети

В данной статье я не буду глубоко погружаться в настройки Mikrotik, а акцентирую свою внимание на настройке CAPsMAN v2 и особенно на моментах которые мне были непонятны.

Статья рассчитана на начинающих пользователей, которые ещё не сталкивались с CAPsMAN. Она поможет сделать первые шаги в изучении данного продукта, понять архитектуру и принципы работы. В статье приведён один из вариантов настройки Wi-Fi сети на базе CAPsMAN, но на самом деле вариантов больше и под каждую конкретную задачу можно выбрать оптимальный вариант настройки.

MikroTik постоянно улучшает функционал CAPsMAN и с каждой новой версией ROS появляются новые возможности и настройки, так что, не удивляйтесь, если в процессе настройки CAPsMAN у вас будут отличаться параметры или появятся новые, которые не описаны в статье.

Статья постоянно обновляется и дополняется. В случае появления новых функций в CAPsMAN я вношу информацию о них в статью.

Используемое оборудование и ПО:

  • MikroTik hAP ac lite (RouterBOARD 952Ui-5ac2nD) версии 6.35.4 (дополнения к статье делаются уже на актуальных версиях).
  • Для работы с CAPsMAN v2, необходимо активировать пакет wireless-cm2 или wireless-rep (с версии ROS 6.37 пакет wireless-cm2 удалён, а пакет wireless-rep переименован в пакет wireless, так что на ROS 6.37 и старше, используем пакет wireless).

Оглавление

Обновление прошивки Mikrotik

Важно всегда использовать актуальную версию RouterOS ветки (channel) «long term» (для критически важных объектов, где в первую очередь важна стабильность работы) или ветки «stable»!

ВНИМАНИЕ! Обновление Firmware!
После обновления RouterOS не забываем обновить и Firmware! Это очень важное замечание, т.к. если вы обновили RouterOS но не актуализировали Firmware, может быть множество непонятных глюков! Firmware, это что-то типа BIOS на компьютере, а RouterOS уже операционная система.

Обновление RouterOS

Меню System > Package. Мы увидим какая версия ROS установлена и какие используются пакеты.

Нажимаем Check For Updates (1), выбираем ветку с которой будем делать обновление (2) и нажимаем кнопку Check For Update (3).

Если у вас не актуальная версия RouterOS то появится информация с изменениями в новой версии (What’s new) и кнопка Download&Install, нажмите её.

Команды в консоли
/system package update set channel=bugfix 
/system package update check-for-updates
  
          channel: bugfix
  current-version: 6.40.8
   latest-version: 6.40.8
           status: System is already up to date

/system package update download
/system package update install

Обновление Firmware

Обновление firmware Mikrotik

Меню System > Routerboard. Далее смотрим, если у вас отличаются версии Current firmware и Upgrade firmware (1), тогда нажимаем кнопку Upgrade (2) и перезагружаем роутер (меню System > Reboot).

Команды в консоли
/system routerboard print 

       routerboard: yes
             model: Groove A-52HPn
     serial-number: 410D02BC6FB2
     firmware-type: ar9340
  factory-firmware: 3.07
  current-firmware: 3.41
  upgrade-firmware: 3.41

/system routerboard upgrade
/system reboot

Первый hAP ac lite в роли CAPsMAN v2 и Wi-Fi AP


Временно отключите Firewall

В ROS 6.44 и старше исправили ниже описанную проблему:

*) capsman - always accept connections from loopback address;

Для ROS младше 6.44:

На время настройки отключите все правила Firewall на MikroTik с CAPsMAN!

Из-за некорректной настройки Firewall (цепочка input) могут быть проблемы с подключением локального CAP к CAPsMAN.

Настройте CAPsMAN, проверите что всё работает, а дальше корректно настроите Firewall.

Проблема появляется в случае, если у вас присутствует правило запрещающее (drop) весь входящий трафик (цепочка input). Даже если у вас разрешен входящий трафик из локальной сети, этого недостаточно.

Подробнее о проблеме и решение:

Если у вас локальный CAP (который находится на самом CAPsMAN) не подключается к CAPsMAN, но подключается при отключении Firewall, то можете сделать ниже приведенные рекомендации с использованием IP адреса loopback.

1. В настройке CAP укажите адрес CAPsMAN: 127.0.0.1

/interface wireless cap set caps-man-addresses=127.0.0.1

2. Добавьте правила в Firewall (данные правила должны быть в самом верху).
Разрешаем хождение траифка от локального CAP к CAPsMAN.

/ip firewall filter add chain=output action=accept protocol=udp src-address=127.0.0.1 dst-address=127.0.0.1 port=5246,5247
/ip firewall filter add chain=input action=accept protocol=udp src-address=127.0.0.1 dst-address=127.0.0.1 port=5246,5247

Ссылки на подробную информацию:

Или можно применить рекомендации приведенные на официальном ресурсе

Если у вас используется конфигурация по умолчанию:

/ip firewall filter
add action=accept chain=input dst-address-type=local src-address-type=local place-before=[/ip firewall filter find where comment="defconf: drop all not coming from LAN"]

Если вы не используете конфигурацию по умолчанию:

/ip firewall filter
add action=accept chain=input dst-address-type=local src-address-type=local

Подробнее: https://wiki.mikrotik.com/wiki/Manual:Simple_CAPsMAN_setup#CAP_in_CAPsMAN

Вернитесь к этой заметке если сталнётесь с этой проблемой.

Настройка идентификатора MikroTik’а

Прописываем идентификатор MikroTik’а, что бы в дальнейшем было проще ориентироваться.

capsman_identity

Команды в консоли
/system identity 
set name=CAPsMAN-CAP1

Настройка бриджа

Создаем bridge, добавляем в него интерфейсы (все кроме Wi-Fi) и присваиваем IP адрес. Wi-Fi интерфейсы сами добавятся в нужный бридж.

Акцентировать на этом внимание не буду, всё стандартно.

Во время настройки бриджа и добавления в него портов может отвалится WinBox. Просто переподключитесь.

capsman_bridge capsman_bridge_ip

Команды в консоли
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5

/ip address
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0
Wi-Fi интерфейс и bridge

Не добавляйте в bridge Wi-Fi интерфейсы. CAPsMAN, в зависимости от настроек Local Forwarding в Datapath, сам добавит или нет Wi-Fi интерфейсы в bridge.

Если вы вручную добавите Wi-Fi в bridge, могут быть проблемы и сообщения в логах:

bridge port received packet with own address as source address (4f:5e:0d:15:60:6s), probably loop

Настройка CAPsMAN на hAP ac lite

Иерархическая структура настроек CAPsMAN

Что бы было проще ориентироваться в приведенных настройках CAPsMAN, опишу иерархию настроек.

capsman_config_top

Все настройки Wireless интерфейсов объединяются в Groups (профили настроек), Groups привязываются к Configuration, а уже Configuration ассоциируется с Provisioning.

Provisioning это правила настройки CAP’ов. Когда CAP подключается с CAPsMAN он подгружает (динамически или статически) свой Provisioning и с помощью него получает все необходимые настройки.

Configuration могут быть Master и Slave. Master это основная конфигурация, Slave дополнительная, например для гостевой сети.

Groups (профили настроек) в CAPsMAN:

  • Channels  — настройки каналов (частоты), шириной канала, мощность и т.д..
  • Datapaths — как и куда будет терминироваться трафик от Wi-Fi клиентов.
  • Security — безопасность Wi-Fi. Ключи и типы шифрования.

Groups, Configuration и Provisioning может быть множество для разных задач.

В нашем случае, будет созданы две Master Configuration для 2.4 Ghz и 5 Ghz диапазонов и два Provisioning для CAP с двумя радиокартами 2.4 Ghz и 5 Ghz. Slave конфигурация не используется.

Подробнее: CAPsMAN Configuration Concepts

Включаем CAPsMAN

capsman_enable_capsman

Выбираем меню CAPsMAN (1), нажимаем кнопку Manager (2) и включаем CAPsMAN (3).

Таблица распределения частот 2.4 Ghz и 5 Ghz

Таблица распределения частот 2.4 Ghz и 5 Ghz

Таблица распределения частот 2.4 Ghz и 5 Ghz

Поддерживаемые частоты/каналы для выбранной страны

Поддерживаемые страны

/interface wireless info country-list 
  countries: no_country_set,albania,algeria,azerbaijan,argentina,australia,austria,bahamas,bahrain,bangladesh,armenia,barbados,belgium,bermuda,bolivia,bosnia and 
             herzegovina,brazil,belize,brunei darussalam,bulgaria,belarus,cambodia,canada,sri lanka,chile,china,taiwan,colombia,mayotte,costa rica,croatia,cyprus,czech 
             republic,denmark,dominican republic,ecuador,el salvador,estonia,finland,france,french guiana,france res,french polynesia,georgia,germany,greece,greenland,
             grenada,guadeloupe,guam,guatemala,haiti,honduras,hong kong,hungary,iceland,india,indonesia,iran,ireland,israel,italy,japan,japan1,japan2,japan3,japan4,japan5,
             kazakhstan,japan6,jordan,kenya,north korea,korea republic,korea republic2,korea republic3,kuwait,lebanon,latvia,liechtenstein,lithuania,luxembourg,macau,
             malawi,malaysia,malta,martinique,mexico,monaco,montenegro,morocco,debug,oman,nepal,netherlands,netherlands antilles,aruba,new zealand,nicaragua,panama,norway,
             pakistan,papua new guinea,paraguay,peru,philippines,poland,portugal,puerto rico,qatar,reunion,romania,russia,rwanda,saudi arabia,serbia,singapore,slovakia,
             viet nam,slovenia,south africa,zimbabwe,spain,sweden,switzerland,syria,thailand,trinidad and tobago,united arab emirates,tunisia,turkey,uganda,ukraine,
             macedonia,egypt,united kingdom,tanzania,united states,united states2,united states (public safety),uruguay,uzbekistan,venezuela,yemen,us 5.8 direct,uk 5.8 
             fixed,germany 5.8 fixed p-p,germany 5.8 ap,us 2.4 crossroads,norway 5.8 p-p,brazil-922,etsi 2.4 rb411uahr rb411ar,brazil direct,indonesia 5.7-5.8,moldova,us 
             2.4 rb951g,etsi 5.5-5.7 outdoor,etsi 2.4 5.5-5.7,us 2.4 5.8,brazil-anatel,russia2,indonesia2,united states3,etsi 5.7-5.8 srd,egypt 5.8,russia3,new zealand 
             5.8 fixed p-p,etsi1,indonesia3,etsi2

Поддерживаемые частоты для выбранной страны

/interface wireless info country-info russia2
  ranges: 5815-6425/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/outdoor
          2402-2482/b,g,gn20,gn40(20dBm)
          2417-2457/g-turbo(20dBm)
          5170-5250/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/passive,indoor
          5250-5330/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/dfs,passive
          5650-5710/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/dfs,passive
          5755-5815/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/outdoor
          5190-5310/a-turbo(20dBm)/dfs
          5180-5300/a-turbo(20dBm)/dfs
          5520-5680/a-turbo(27dBm)/dfs,passive

Таблица распределения 2.4 Ghz частот и каналов

Wi-Fi 2.4 ГГц. Схема распределения каналов

Wi-Fi 2.4 ГГц. Схема распределения каналов

Wi-Fi 2.4 ГГц. Таблица распределения частот

Используйте частоты разрешённые в вашем регионе!

Настройка Channel для 2.4 Ghz (20 Mhz)

capsman_channel

Выбираем закладку Channel (1) добавляем канал (2).

Указываем имя группы каналов, частоту, ширину канала (20 Mhz), поддерживаемые стандарты 802.11 (b/g/n), мощность (20).

Мы создали первый канал (канал 1) для первого CAP’а, теперь нам необходимо создать второй не пересекающийся канал (канал 6) для второго CAP’а.

Настраиваем его аналогичным образом.

Результат будет таким:

capsman_channel_list

Автоматический выбор канала

Если вы хотите чтобы CAPsMAN сам выбирал свободный канал из заранее определённых каналов, можно сделать следующее:

В этом случае, CAPsMAN будет выбирать самый удачный в данный момент канал и менять его, если необходимо, раз в сутки.

/caps-man channel add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2462,2437,2412 name=channel_2.4Ghz reselect-interval=1d tx-power=20

Таблица распределения 5 Ghz частот и каналов

Wi-Fi 5 ГГц. Схема распределения каналов

Wi-Fi 5 ГГц. Схема распределения каналов

Wi-Fi 5 ГГц. Таблица распределения частот

Старайтесь не использовать частоты с DFS.

Частоты UNII-3 на некоторых старых устройствах могут быть недоступны (были проблемы на iPAD), перед использованием тестируйте.

Используйте частоты разрешённые в вашем регионе!

Настройка Channel для 5 Ghz (40 Mhz)
capsman_channel_5

Настройки аналогичны настройкам для 2.4 Ghz. Добавляем канал 36 (5180 Mhz) и потом канал 44 (5220 Mhz).

Обратите внимание как устанавливается ширина канала. Эта настройка весьма не очевидна. Если нам нужно 40 Mhz, то мы в Width ставим 20, а в Extension Channel указываем куда будем расширять канал. Выше (Ce) или ниже по каналам (eC).

Если вам нужно 80 Mhz то будет Ceee или eeeC, а в Width всё те же 20 и т.д. Подробно данная тема обсуждалась на форуме MikroTik тут и тут.

Результат будет таким:

Если у вас не стоит задача вручную разносить CAP’ы на непересекающиеся каналы, то можно создать только по одному Channel для 2.4 Ghz и 5 Ghz, а поле Frequency оставить пустым. Тогда CAPsMAN будет сам, автоматически, распределять между CAP’ами частотные каналы. Но я считаю, что лучше вручную распределить каналы. Выбор за вами. Ниже я опишу процесс присваивания индивидуального канала для каждого CAP’а.
Автоматический выбор канала

Если вы хотите чтобы CAPsMAN сам выбирал свободный канал из заранее определённых каналов, можно сделать следующее:

/caps-man channel add band=5ghz-a/n/ac frequency=5180,5220,5745,5785 name=channel_5Ghz reselect-interval=1d save-selected=yes skip-dfs-channels=no tx-power=20

В этом случае, CAPsMAN будет выбирать самый удачный в данный момент канал и менять его, если необходимо, раз в сутки.

Настройка Datapaths

Настраиваем как будет ходить трафик от Wi-Fi клиентов.

capsman_datapaths

Выбираем закладку Datapaths (1), добавляем новый (2), выбираем ранее созданный Bridge (3) и устанавливаем Local Forwarding (3) и Client To Client Forwarding (4).

Client To Client Forwarding — разрешаем или нет Wi-Fi клиентам видеть друг-друга в рамках одного радиомодуля (радиоинтерфейса).

Local Forwarding — если включён Local Forwarding, то Wi-Fi интерфейс добавится в локальный бридж конкретной CAP и трафик от Wi-Fi клиентов подключённых к данной CAP будет терминироваться локально.

CAPsMAN: Local Forwarding: On

CAPsMAN: Local Forwarding: On

Если Local Forwarding выключен, то организуется туннели от CAP до CAPsMAN. Wi-Fi интерфейсы CAP’ов добавятся в бридж CAPsMAN’а и весь трафик со всех CAP’ов, через туннели, пойдёт централизованно через CAPsMAN.

В этом случае значительно вырастают требования к аппаратным ресурсам для CAPsMAN т.к. весь трафик от клиентов проходит через него, а также требуются дополнительные ресурсы на инкапсуляцию пакетов в туннели и шифрование.

Если аппаратных ресурсов не будет хватать, то будет снижение скорости у Wi-Fi клиентов и высокая загрузка процессора у CAPsMAN.

Но тут есть и плюсы. Один из них, это то, что весь трафик от Wi-Fi клиентов пойдёт через CAPsMAN и его проще контролировать, т.к. CAPsMAN это единственная точка входа/выхода для всего трафика клиентов.

CAPsMAN: Local Forwarding: Off

CAPsMAN: Local Forwarding: Off

Пример, когда выключен Local Forwarding и все CAP’ы динамически добавлены в bridge CAPsMAN’а:

capsman_bridge_cap

Настройка Security

Всё стандартно и понятно, останавливаться подробно не буду.

capsman_sec

CAPsMAN log: disconnected, group key timeout

Некоторые Wi-Fi клиенты отключаются от точки доступа примерно раз в 5 минут и в этот момент в логе MikroTik появляется запись:

caps,info 28:FF:4E:BD:CA:4F@cap3 disconnected, group key timeout

Необходимо увеличить параметра group-key-update (как часто, точка доступа обновляет и передаёт клиентам новый групповой ключ). Данный параметр появился с версии ROS 6.38.

Подробнее в статье: Mikrotik: disconnected, group key exchange timeout

В случае возникновения подобных проблемы установите параметр group-key-update равный одному часу.

Пример:

/caps-man security set security1 group-key-update=1h

Создание Configuration для 5 Ghz

capsman_config_wireless

В закладке Configurations (1) добавляем конфигурацию (2) для 5 Ghz диапазона.

Задаём имя конфигурации (3), режим работы Wi-Fi радио карты (4), SSID (5), страну (6) и антенны (7).

В закладках Channel, Datapath и Security выбираем выше созданные Groups (профили настроек).

capsman_config_ch

По умолчанию, все новые CAP’ы динамически подключенные к CAPsMAN будут использовать канал 36. В дальнейшем мы сможем задать свой собственный канал для каждой CAP.capsman_config_data capsman_config_sec

Создание Configuration для 2.4 Ghz

capsman_config_wireless_2Настройки аналогичны настройкам для 5 Ghz, задаём только своё имя конфигурации (1).

В закладках Channel, Datapath и Security выбираем выше созданные Groups (профили настроек).

capsman_config_ch_2По умолчанию, все новые CAP’ы динамически подключенные к CAPsMAN будут использовать канал 1. В дальнейшем мы сможем задать свой собственный канал для каждой CAP. capsman_config_data_2 capsman_config_sec_2В результате мы получим две конфигурации для 2.4 и 5 Ghz диапазонов.

capsman_config_listНастройка Provisioning

Возможности Provisioning весьма широкие, в данном примере показан один из простых примеров — всем CAP присваивать одинаковую конфигурацию на основе их аппаратных возможностей (используемых радиомодулей).

Но можно создавать более сложные правила Provisioning’а, например:

  • на основе MAC адреса радиомодуля — выделить какому-то конкретному CAP персональную конфигурацию (например распределить меду CAP частотные каналы на основе их MAC адресов радиомодулей),
  • присвоить конфигурацию CAP’ам на основе их Identity,
  • сделать несколько вторичных конфигураций для CAP’ов (SSID), например для гостевой сети,
  • задать правила присвоения имен CAP’ам,
  • и другие вариант.

И так, мы создали группы с настройками для каналов (Channel), безопасности (Security), группы с правилами хождения трафика (Datapath) и объединили эти группы в конфигурации (Configuration) для двух диапазонов 2.4 Ghz и 5 Ghz.

Теперь необходимо создать правила настройки CAP’ов (Provisioning). Каким CAP’ам, какие конфигурации будут присваиваться (конфигураций может быть много с разными настройками).

Делается это с помощью Provisioning.

Для того, что бы одному устройству с двумя радиомодулями (2 ГГц и 5 ГГц) присвоить конфигурацию для двух диапазонов, нужно создать два раздельных Provisioning. Каждый провижининг привязывается к MAC адресу нужного радиомодуля (2 и 5 ГГЦ).

Создадим два Provisioning для 2.4 и 5 Ghz диапазонов.

Provisioning для MikroTik с 5Ghz радиокартами

capsman_prov_5

  • Мы можем указать конкретный MAC адрес радиомодуля (1) CAP’а, которому будет присваиваться конкретное правило настройки (Provisioning). В данном случае, MAC всё нули, т.е. применять для всех CAP’ов с любым MAC.
  • Указываем для каких радиокарт (2) действует данное правило настройки (Provisioning). В нашем случае для карт 802.11a, n и ac.
  • Параметр Action (3) указываем как на скриншоте.
  • Выбираем ранее созданную конфигурацию для 5 Ghz (4).

Provisioning для MikroTik с 2.4 Ghz радиокартами

capsman_prov_2

  • Мы можем указать конкретный MAC адрес радиомодуля (1) CAP’а, которому будет присваиваться конкретное правило настройки (Provisioning). В данном случае, MAC всё нули, т.е. применять для всех CAP’ов с любым MAC.
  • Указываем для каких радиокарт (2) действует данное правило настройки (Provisioning). В нашем случае для карт 802.11b, g и n.
  • Параметр Action (3) указываем как на скриншоте.
  • Выбираем ранее созданную конфигурацию для 2.4 Ghz (4).

В результате мы получим следующий список Provisioning:

capsman_prov_list

Команды в консоли
/caps-man manager
set enabled=yes

/caps-man channel
add band=2ghz-b/g/n extension-channel=disabled frequency=2412 name=\
    channel_2.4G_1 tx-power=20 width=20
add band=2ghz-b/g/n extension-channel=disabled frequency=2437 name=\
    channel_2.4G_6 tx-power=20 width=20
add band=5ghz-a/n/ac extension-channel=Ce frequency=5180 name=channel_5G_36 \
    tx-power=20 width=20
add band=5ghz-a/n/ac extension-channel=Ce frequency=5220 name=channel_5G_44 \
    tx-power=20 width=20

/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name=\
    datapath1

/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security1 passphrase=12345678

/caps-man configuration
add channel=channel_5G_36 country=russia datapath=datapath1 mode=ap name=\
    cfg_5G rx-chains=0,1,2 security=security1 ssid=2keep.net tx-chains=0,1,2
add channel=channel_2.4G_1 country=russia datapath=datapath1 mode=ap name=\
    cfg_2.4G rx-chains=0,1 security=security1 ssid=2keep.net tx-chains=0,1,2

/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=an,ac \
    master-configuration=cfg_5G
add action=create-dynamic-enabled hw-supported-modes=b,gn \
    master-configuration=cfg_2.4G

На этом, базовые настройки CAPsMAN закончены.

Настройка локальных Wireless интерфейсов для работы с CAPsMAN

Мы настроили CAPsMAN на первом hAP ac lite, теперь настроим на нём Wireless интерфейс (локальный CAP), которая будет под контролем CAPsMAN.

  • Заходим в меню Wireless (1).
  • Нажимаем кнопку CAP (2).
  • Включаем работу CAP с CAPsMAN (3).
  • Выбираем Interfaces (4) которые будут под контролем CAPsMAN (wlan1 — 2.4Ghz и wlan2 — 5Ghz).
  • Для локального CAP, указываем локальный (loopback) IP адрес CAPsMAN (5) [И если нужно настраиваем firewall для пропуска локального трафика от CAP к CAPsMAN. Подробнее тут]. IP можно не указывать, а указать только Discovery Interfaces. CAP будет искать CAPsMAN в той сети, где находится Discovery Interfaces.
  • Указываем Bridge (6) в который будет добавляться Wireless интерфейс если включен Local Forwarding в Datapath.
Команды в консоли
/interface wireless cap
set bridge=bridge1 caps-man-addresses=127.0.0.1 enabled=yes interfaces=\
    wlan1,wlan2

В результате мы видим, что Wireless интерфейсы wlan1 и wlan2 находятся под управлением CAPsMAN.

cap1_wireless_list

Полный конфиг первого hAP ac lite (CAPsMAN-CAP1)
/caps-man channel
add band=2ghz-b/g/n extension-channel=disabled frequency=2412 name=\
    channel_2.4G_1 tx-power=20 width=20
add band=2ghz-b/g/n extension-channel=disabled frequency=2437 name=\
    channel_2.4G_6 tx-power=20 width=20
add band=5ghz-a/n/ac extension-channel=Ce frequency=5180 name=channel_5G_36 \
    tx-power=20 width=20
add band=5ghz-a/n/ac extension-channel=Ce frequency=5220 name=channel_5G_44 \
    tx-power=20 width=20
/interface bridge
add name=bridge1
/interface wireless
# managed by CAPsMAN
# channel: 2412/20/gn(20dBm), SSID: 2keep.net, local forwarding
set [ find default-name=wlan1 ] disabled=no
# managed by CAPsMAN
# channel: 5180/20-Ce/ac(20dBm), SSID: 2keep.net, local forwarding
set [ find default-name=wlan2 ] disabled=no
/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name=\
    datapath1
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security1 passphrase=12345678
/caps-man configuration
add channel=channel_5G_36 country=russia datapath=datapath1 mode=ap name=\
    cfg_5G rx-chains=0,1,2 security=security1 ssid=2keep.net tx-chains=0,1,2
add channel=channel_2.4G_1 country=russia datapath=datapath1 mode=ap name=\
    cfg_2.4G rx-chains=0,1 security=security1 ssid=2keep.net tx-chains=0,1,2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=an,ac \
    master-configuration=cfg_5G
add action=create-dynamic-enabled hw-supported-modes=b,gn \
    master-configuration=cfg_2.4G
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/interface wireless cap
set bridge=bridge1 caps-man-addresses=192.168.88.1 enabled=yes interfaces=\
    wlan1,wlan2
/ip address
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0
/system identity
set name=CAPsMAN-CAP1
/system routerboard settings
set cpu-frequency=650MHz init-delay=0s protected-routerboot=disabled

Ошибка - "possible regulatory info mismatch with CAP"

Если появилась ошибка — «possible regulatory info mismatch with CAP» , то отключите CAP от CAPsMAN и сделайте «Reset Configuration» в «Wireless» и подключите обратно CAP к CAPsMAN.

Mikrotik: Wireless Reset Configuration

Mikrotik: Wireless Reset Configuration

Команды в консоли
/interface wireless reset-configuration wlan1

Второй hAP ac lite в роли Wi-Fi AP под управленим CAPsMAN

Настройка идентификатора MikroTik’а

Прописываем идентификатор MikroTik’а, что бы в дальнейшем было проще ориентироваться.

cap2_id

Команды в консоли
/system identity
set name=CAP2

Как и для CAPsMAN создаем бридж.

Создаем bridge, добавляем в него интерфейсы (все кроме Wi-Fi) и присваиваем IP адрес.

Wi-Fi интерфейсы сами добавятся в нужный бридж.

cap2_bridge cap2_bridge_ip

Команды в консоли
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5

/ip address
add address=192.168.88.2/24 interface=bridge1 network=192.168.88.0

Настройка Wireless интерфейсов для работы с CAPsMAN

Настройки Wireless интерфейсов для работы с CAPsMAN, точно такие же, как и для CAP1.

cap1_config

  • Заходим в меню Wireless (1).
  • Нажимаем кнопку CAP (2).
  • Включаем работу CAP с CAPsMAN (3).
  • Выбираем Interfaces (4) которые будут под контролем CAPsMAN (wlan1 — 2.4Ghz и wlan2 — 5Ghz).
  • Указываем IP адрес CAPsMAN (5). IP можно не указывать, а указать только Discovery Interfaces. CAP будет искать CAPsMAN в той сети, где находится Discovery Interfaces.
  • Указываем Bridge (6) в который будет добавляться Wireless интерфейс если включен Local Forwarding в Datapath.
Команды в консоли
/interface wireless cap
set bridge=bridge1 caps-man-addresses=192.168.88.1 enabled=yes interfaces=\
    wlan1,wlan2

В результате мы видим, что Wireless интерфейсы wlan1 и wlan2 находятся под управлением CAPsMAN.

cap1_wireless_list

Полный конфиг второго hAP ac lite (CAP2)
/interface bridge
add name=bridge1
/interface wireless
# managed by CAPsMAN
# channel: 2412/20/gn(20dBm), SSID: 2keep.net, local forwarding
set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
# managed by CAPsMAN
# channel: 5180/20-Ce/ac(20dBm), SSID: 2keep.net, local forwarding
set [ find default-name=wlan2 ] disabled=no ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/interface wireless cap
set bridge=bridge1 caps-man-addresses=192.168.88.1 enabled=yes interfaces=\
    wlan1,wlan2
/ip address
add address=192.168.88.2/24 interface=bridge1 network=192.168.88.0
/system identity
set name=CAP2
/system routerboard settings
set cpu-frequency=650MHz init-delay=0s protected-routerboot=disabled

На этом настройки второго hAP ac lite закончены, и Wi-Fi сеть должна работать, но правда на одном канале. Нас это не устраивает. Продолжаем дальше…

Настройка индивидуальных частотных каналов для CAP

Мы настроили CAPsMAN и две Wi-Fi точки доступа (CAP1 — находится на том же hAP что и CAPsMAN и CAP2 — на втором hAP’е). Если вы всё правильно настроили, то они подключились к CAPsMAN.

Открываем CAPsMAN на закладке Interfaces и видим 4 динамически (буква D (1)) созданных интерфейса (у нас два CAP’а и каждый с двумя радиоинтерфесами).

capsman2_if

Описание букв в левой колонке
M - master
D - dynamic
B - bound
X - disabled
I - inactive
R - running

Wi-Fi сеть уже работает, но все CAP’ы находятся на одном канале (2), а нам нужны разные.

Применить индивидуальные конфигурации для CAP (а частотный канал, это один из параметров конфигурации), можно как в статическом режиме, так и в динамическом.

Статическое распределение персональных частотных каналов (конфигураций)

Сейчас CAP’ы прописаны в CAPsMAN динамически (автоматически) и соответственно каналы прописались те, что мы указали ранее в конфигурации (groups channel).

В данный момент все CAP’ы подключены к CAPsMAN динамически (буква D) и в связи с этим на них нельзя менять параметры. Параметры можно менять только на статически привязных CAP’ах к CAPsMAN.

Открываем свойства интерфейса cap1 (он у нас на 2.4Ghz на CAP1), нажимаем Copy (1) и в окне параметров нового интерфейса, производим необходимые настройки. Дадим более понятное имя интерфейсу (2) и частоту канала (3).

capsman2_if_cap_copy

Теперь выбираем cap2 интерфейс (он у нас на 5Ghz на CAP1). Так же указываем имя и канал.

capsman2_if_cap_copy_5Повторяем такие же манипуляции для CAP2 (соответственно выбираем другие частотные каналы).

В результате видим следующее:

capsman2_if_cap_copy_resultУ каждой CAP свой канал для 2.4Ghz и для 5Ghz (1), но интерфейсы неактивны (буква I) (2).

Изменения в новых настройках интерфейсов CAP’ов мы сделали, теперь нужно присвоить новые конфигурацию CAP’ам.

Заходим в закладку Remote CAP (1), выбираем первый CAP (2) и нажимаем кнопку Provision (3).

capsman2_cap_static_provПовторяем такие же манипуляции для CAP2.

Команды в консоли
Создам статические интерфейсы (функции Copy как в Winbox, я не нашел,
будем прописывать вручную).

/caps-man interface
add arp=enabled channel=channel_2.4G_1 configuration=cfg_2.4G disabled=no \
    l2mtu=1600 mac-address=E4:8D:8C:D6:F4:64 master-interface=none mtu=1500 \
    name=cap-2.4G-1 radio-mac=E4:8D:8C:D6:F4:64
add arp=enabled channel=channel_2.4G_6 configuration=cfg_2.4G disabled=no \
    l2mtu=1600 mac-address=E4:8D:8C:D6:EE:2F master-interface=none mtu=1500 \
    name=cap-2.4G-2 radio-mac=E4:8D:8C:D6:EE:2F
add arp=enabled channel=channel_5G_36 configuration=cfg_5G disabled=no l2mtu=\
    1600 mac-address=E4:8D:8C:D6:F4:63 master-interface=none mtu=1500 name=\
    cap-5G-1 radio-mac=E4:8D:8C:D6:F4:63
add arp=enabled channel=channel_5G_44 configuration=cfg_5G disabled=no l2mtu=\
    1600 mac-address=E4:8D:8C:D6:EE:2E master-interface=none mtu=1500 name=\
    cap-5G-2 radio-mac=E4:8D:8C:D6:EE:2E

Присваиваем конфигурацию CAP'ам (Provision)

[admin@CAPsMAN-CAP1] > /caps-man remote-cap print
 # ADDRESS                     NAME                       STATE  RADIOS
 0 192.168.88.1/35280          [E4:8D:8C:D6:F4:5E]        Run    2
 1 192.168.88.2/45776          [E4:8D:8C:D6:EE:29]        Run    2

[admin@CAPsMAN-CAP1] > /caps-man remote-cap provision numbers=0

[admin@CAPsMAN-CAP1] > /caps-man remote-cap provision numbers=1

В результате мы видим, что все интерфейсы привязались к своим CAP (буква B) и у каждой CAP свой канал (частота).

capsman2_if_cap_after_prov_result

Полный конфиг первого hAP ac lite (CAPsMAN-CAP1) со статической привязкой CAP
/caps-man channel
add band=2ghz-b/g/n extension-channel=disabled frequency=2412 name=\
    channel_2.4G_1 tx-power=20 width=20
add band=2ghz-b/g/n extension-channel=disabled frequency=2437 name=\
    channel_2.4G_6 tx-power=20 width=20
add band=5ghz-a/n/ac extension-channel=Ce frequency=5180 name=channel_5G_36 \
    tx-power=20 width=20
add band=5ghz-a/n/ac extension-channel=Ce frequency=5220 name=channel_5G_44 \
    tx-power=20 width=20
/interface bridge
add name=bridge1
/interface wireless
# managed by CAPsMAN
# channel: 2412/20/gn(20dBm), SSID: 2keep.net, local forwarding
set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
# managed by CAPsMAN
# channel: 5180/20-Ce/ac(20dBm), SSID: 2keep.net, local forwarding
set [ find default-name=wlan2 ] disabled=no ssid=MikroTik
/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name=\
    datapath1
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security1 passphrase=12345678
/caps-man configuration
add channel=channel_5G_36 country=russia datapath=datapath1 mode=ap name=\
    cfg_5G rx-chains=0,1,2 security=security1 ssid=2keep.net tx-chains=0,1,2
add channel=channel_2.4G_1 country=russia datapath=datapath1 mode=ap name=\
    cfg_2.4G rx-chains=0,1 security=security1 ssid=2keep.net tx-chains=0,1,2
/caps-man interface
add arp=enabled channel=channel_2.4G_1 configuration=cfg_2.4G disabled=no \
    l2mtu=1600 mac-address=E4:8D:8C:D6:F4:64 master-interface=none mtu=1500 \
    name=cap-2.4G-1 radio-mac=E4:8D:8C:D6:F4:64
add arp=enabled channel=channel_2.4G_6 configuration=cfg_2.4G disabled=no \
    l2mtu=1600 mac-address=E4:8D:8C:D6:EE:2F master-interface=none mtu=1500 \
    name=cap-2.4G-2 radio-mac=E4:8D:8C:D6:EE:2F
add arp=enabled channel=channel_5G_36 configuration=cfg_5G disabled=no l2mtu=\
    1600 mac-address=E4:8D:8C:D6:F4:63 master-interface=none mtu=1500 name=\
    cap-5G-1 radio-mac=E4:8D:8C:D6:F4:63
add arp=enabled channel=channel_5G_44 configuration=cfg_5G disabled=no l2mtu=\
    1600 mac-address=E4:8D:8C:D6:EE:2E master-interface=none mtu=1500 name=\
    cap-5G-2 radio-mac=E4:8D:8C:D6:EE:2E
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/caps-man access-list
add action=accept disabled=no interface=all signal-range=-79..120 \
    ssid-regexp=""
add action=reject disabled=no interface=all signal-range=-120..-80 \
    ssid-regexp=""
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=an,ac \
    master-configuration=cfg_5G
add action=create-dynamic-enabled hw-supported-modes=b,gn \
    master-configuration=cfg_2.4G
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/interface wireless cap
set bridge=bridge1 caps-man-addresses=192.168.88.1 enabled=yes interfaces=\
    wlan1,wlan2
/ip address
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0
/system identity
set name=CAPsMAN-CAP1
/system routerboard settings
set cpu-frequency=650MHz init-delay=0s protected-routerboot=disabled

Динамическое распределение персональных частотных каналов (конфигураций)

При больших инсталляциях, будет удобней использовать персональные правила динамического провижининга для каждой CAP на основе MAC адреса радиомодуля CAP.

Т.е. есть у нас 50 CAP’ов, то создаём для них 100 персональных правил провижининга (одно правило для 2.4ГГц, второе для 5ГГц, в сумме 100 правил).

Пример создания правила:

Создание правила Provisioning

Создание правила Provisioning

  1. Указываем MAC радиоинтерфейса CAP.
  2. Тип/технология радиоинтерфейса.
  3. Конфигурация которая будет присваиваться данной CAP.
  4. Можно указать дополнительную конфигурацию для CAP (например для гостевой сети).
  5. Задаём правило формирования имени которое присваивается CAP’у.
  6. Задаём имя для CAP.
  7. В результате видим, что у нас появился радионтерфейс.
Команды в консоли
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn,b master-configuration=cfg_channel6 name-format=prefix name-prefix=cap2g radio-mac=4C:5E:0C:B2:C5:3D

Результат

Текущие радиоинтерфейсы:

[admin@CAPsMAN-CAP1] > /caps-man interface print detail
Flags: M - master, D - dynamic, B - bound, X - disabled, I - inactive, R - running 
 0 MDB  name="cap2g1" mac-address=4C:5E:0C:B2:C5:3D arp-timeout=auto radio-mac=4C:5E:0C:B2:C5:3D master-interface=none configuration=cfg_channel6 l2mtu=1600 
        current-state="running-ap" current-channel="2437/20-Ce/gn(20dBm)" current-rate-set="CCK:1-11 OFDM:6-54 BW:1x-2x SGI:1x-2x HT:0-15" 
        current-basic-rate-set="OFDM:6 BW:1x HT:0-7" current-registered-clients=0 current-authorized-clients=0 

Текущие активные конфигурации:

[admin@CAPsMAN-CAP1] > /caps-man actual-interface-configuration print 
Flags: M - master, D - dynamic, B - bound, X - disabled, I - inactive, R - running 
 0 MDB  name="cap2g1" mac-address=4C:5E:0C:B2:C5:3D arp-timeout=auto radio-mac=4C:5E:0C:B2:C5:3D master-interface=none configuration.mode=ap configuration.ssid="2keep.net" 
        configuration.tx-chains=0,1,2 configuration.rx-chains=0,1,2 configuration.country=russia2 configuration.distance=indoors security.authentication-types=wpa2-psk 
        security.encryption=aes-ccm security.group-encryption=aes-ccm security.passphrase="youPSK" l2mtu=1600 datapath.client-to-client-forwarding=yes 
        datapath.bridge=bridge1 datapath.local-forwarding=no channel.frequency=2437 channel.control-channel-width=20mhz channel.band=2ghz-onlyn channel.tx-power=20

Настройки закончены, можно подключаться к сети.

Используя такую же методику, можно изменять любые параметры на конкретных CAP’ах. Например, у всех CAP’ов в сети ширина канала 40 Mhz, но для одного CAP’а нам нужно сделать 20 Mhz.

В CAPsMAN закладке Registration Table, можно посмотреть какие пользователи, с какими параметрами и к какому интерфейсу подключены.

capsman2_reg_tbl

Команды в консоли
[admin@CAPsMAN-CAP1] > /caps-man registration-table print
 # INTERFACE          SSID           MAC-ADDRESS       UPTIME      RX-SIGNAL
 0 cap-2.4G-1         2keep.net      18:87:96:83:79:B9 4s810ms       -56

[admin@CAPsMAN-CAP1] > /caps-man registration-table print detail
 0 interface=cap-2.4G-1 ssid="2keep.net" mac-address=18:87:96:83:79:B9 tx-rate-set="CCK:1-11 OFDM:6-54 BW:1x HT:0-7"

Бесшовный роуминг Wi-Fi (handover)

Замечание на тему Wi-Fi роуминага:

Переход от одной AP к другой AP (роуминг) — прерогатива самого клиента. Именно клиент принимает решение, когда ему переходить с одной точки на другую и нужно ли вообще переходить.  На разных Wi-Fi клиентах, данный процесс может быть по разному реализован или не реализован вообще.

Стандарты 802.11r/k/v предоставляют клиенту только информацию помогающую в роуминге, они не заставляют клиента выполнить процедуру роуминга. Как клиент поступит с этой информацией, остаётся на совести клиента.

Для тех, кто хочет лучше разобраться в процессе роуминга в Wi-Fi сетях, рекомендую к прочтению цикл статей:

В MikroTik нет поддержки протоколов роуминга (802.11r/k/v, OKC и др.). Так же, как их нет и у конкурента в своём ценовом диапазоне — Ubiquiti. В своё время, Ubiquiti разрабатывала свой протокол роуминга — Zero Handoff, но сейчас отказалась от него в новых версиях AP AC Gen2 (не оправдал ожидания и только создавал новые проблемы), а на старых AP не рекомендует его использовать:

«First, the ‘ZH’ feature isn’t not recommended in the vast majority of deployments…»

http://community.ubnt.com/t5/UniFi-Wireless/Unifi-AP-Zero-Handoff-Decision/m-p/1536502/highlight/true#M155829

Ubiquiti в новых AP AC Gen2 не планирует реализовывать ZHO, а сосредоточится на 802.11r :

Re: Zero Handoff: Support for UAP-AC-PRO?
Options
‎02-18-2016 09:41 AM

@esseph is right. Currently there are no plans for ZHO on gen2 AC products. The focus will be 802.11r/v/k.

Cheers,
Mike https://community.ubnt.com/t5/UniFi-Wireless-Beta/Zero-Handoff-Support-for-UAP-AC-PRO/m-p/1486351#M23046


Обновление от 01/2020: В даташите на точки доступа UniFi появилась информация о поддержки протоколов 802.11r/k/v, но с ограничениями. 802.11v поддерживается только если включить band-steering (а это часто не нужно), 802.11k работает только когда включен 802.11r (в терминологии Ubiquiti — fast roaming). С 802.11r бывают проблемы и если его не включать, то отдельно 802.11k не включается. Обсуждение на форуме тут и тут.

Но вернёмся к Mikrotik. На форуме Mikrotik я встречал упоминание, что они тоже работают над 802.11r, но точных ссылок на эту информацию не дам. Может в RouterOS 7 что-то и появится, посмотрим.

Замечание на тему 802.11r

802.11r в сети из зоопарка клиентских устройств, может создать дополнительные проблемы. Не на всех Wi-Fi клиентах корректно реализован 802.11r или не реализован вообще и такие устройства не будут подключаться к вашей Wi-Fi сети.

Так что, поддержка 802.11r не обязательно решит ваши проблемы с роумингом (хендовером), а может ещё и создать новые проблемы с жалобами о невозможности подключения к Wi-Fi.

Вернёмся к реализации «роуминга». Что можно сделать в случае, если с роумингом возникают проблемы.

В Mikrotik есть возможность, с помощью access-list’ов «сбросить» пользователя с CAP, по достижению пользователем, заранее заданного минимального уровня сигнала. Т.е. клиент не будет держаться до последнего за конкретный CAP (точку доступа), а принудительно отключится от него и подключится к соседнему CAP’у с большим уровнем сигнала (у Ubiquiti сейчас такая же реализация).

По моему опыту, во время переключения теряется 1 пинг.

Функция сброса клиента по уровню сигнала, актуальна для старый Wi-Fi клиентов, современные Wi-Fi клиенты не нужно принудительно сбрасывать (в большинстве случаев), они самостоятельно будут переходить с CAP на CAP. Но бывают случаи когда без access-list’ов ни куда. Подробнее будет ниже в главе: Комментарии на тему роуминга и Access-List’ов

Создаём Access List с ограничениями по уровню сигнала

capsman2_alВ CAPsMAN заходим в закладку Access List и создаем два правила:

  1. Правило разрешающее — accept (2) — подключение клиентов с уровнями сигналов лучше чем -79 dBm (2).
  2. Правило запрещающее — reject (4) — подключение клиентов с сигналом хуже чем -80 dBm (3).
Команды в консоли
/caps-man access-list
add action=accept disabled=no interface=all signal-range=-79..120 \
    ssid-regexp=""
add action=reject disabled=no interface=all signal-range=-120..-80 \
    ssid-regexp=""

Если в радиусе действия клиента будет другой CAP, он зарегистрируется на нём. В логах и Registration Table можно смотреть процесс переключения клиента.

На форумах встречал утверждение, что правила Access List’а проверяются только в момент подключения клиента к Wi-Fi сети и что если уровень сигнала клиента, изменится когда клиент уже подключен, то правила Access List’а не сработает.

Данное утверждение неверно, Access List постоянно контролирует клиента и если его уровень сигнала опустится ниже настроенного уровня, то клиент будет сразу отброшен Access List’ом.

В версии ROS 6.42 появилась опция allow-signal-out-of-range, она позволяет реализовать проверку уровня сигнала клиента только в момент подключения к Wi-Fi сети.

Опция Access-List’а: allow-signal-out-of-range

C версии ROS 6.42 в реализации Wi-Fi c CAPsMAN для Access List’ов появилась опция «allow-signal-out-of-range». Она пока ещё не описана в документации. Данная опция позволяет, настроить проверку уровня сигнала клиента с помощью Access List только в момент подключения клиента к Wi-Fi или указать время в течении которого Mikrotik будет игнорировать снижение уровня сигнала от клиента.

Например: Если данный параметр поставить 10s и у клиента кратковременно упадёт сигнал (например рукой антенну закрыл), то Mikrotik не отбросит его сразу, но если от клиента уровень сигнала будет низкий больше 10 секунд, то его отключат от AP.

Пример настройки

В данном случае, клиент отключится от Wi-Fi AP если его уровень сигнала в течении 10 секунд будет хуже -75 dBm.

Если установить «always», то проверяться уровень сигнала Wi-Fi клиента, будет только в момент подключения клиента к Wi-Fi AP, далее его изменения игнорируются.

CAPsMAN Access-List с опцией allow-signal-out-of-range

CAPsMAN Access-List с опцией allow-signal-out-of-range

Команды в консоли
/caps-man access-list
...
add action=reject allow-signal-out-of-range=10s disabled=no interface=any signal-range=-120..-75 ssid-regexp=""

Тестирование роуминга (с ограничением по уровню сигнала)

Имеется два CAP’а под управлением CAPsMAN (CAP5 и CAP6). В настройках Bridge выключен Local Forwarding. В Access List’е настроены минимальные уровни сигнала при которых клиент может работать с нашей Wi-Fi сетью.

Для тестирования были следующие уровни сигнала:

/caps-man access-list
add action=accept disabled=no interface=all signal-range=-74..120 ssid-regexp=""
add action=reject disabled=no interface=all signal-range=-120..-75 ssid-regexp=""

С помощью смартфона, я подключился к CAP5 и стал перемещаться к CAP6. На смартфоне запущен ping.

Как только на CAP5, уровень сигнала от смартфона опустился ниже указанного порога, я сразу переключился на CAP6.

Лог:

20:04:30 caps,info 71:03:A8:3C:27:F1@cap5 connected 
20:04:30 dhcp,info dhcp1 deassigned 10.10.10.11 from 71:03:A8:3C:27:F1 
20:04:30 dhcp,info dhcp1 assigned 10.10.10.11 to 71:03:A8:3C:27:F1 
20:04:50 caps,info 71:03:A8:3C:27:F1@cap5 disconnected, too weak signal 
20:04:50 caps,info 71:03:A8:3C:27:F1@cap6 connected

В логе видно:

  • CAPsMAN отключил от CAP5 клиента в связи с низким уровнем сигнала: cap5 disconnected, too weak signal
  • и в ту же секунду, клиент подключился к CAP6 без повторного DHCP запроса.

В этот момент на клиенте был потерян один ICMP пакет (ping)

Mikrotik Wi-Fi роуминг

Mikrotik Wi-Fi роуминг

Описание протоколов Wi-Fi-роуминга

В статье, достаточно подробно описаны различные механизмы реализации роуминга их отличия друг от друга и особенности. Данное описание применительно не только для оборудования Cisco.

Комментарии на тему роуминга и Access-List’ов

Если у вас используются современные Wi-Fi клиенты, то вам скорей всего не понадобятся Access List’ы (с ограничением по уровню сигнала) и мало того, они вам могут навредить (клиенты будут постоянно то подключаться то отключаться от AP, когда от них падает уровень сигнала).

Access-List’ы нужны для принудительного отключения Wi-Fi клиента который «намертво» зацепился за Wi-Fi AP и висит на ней до последнего, пока уровень сигнала не упадёт до нуля. Современные Wi-Fi адаптеры в клиентских устройствах, обычно таким поведением не страдают и сами, без дополнительного «пинка», переключаются на соседнюю AP.

Для чего я бы рекомендовал использовать Access-List’ы

  1. Использовать Access-List’ы стало удобно с опцией «allow-signal-out-of-range» . Вы можете ограничить подключение к Wi-Fi по уровню сигнала от клиента. Клиенты только с указанным уровнем сигнала смогут подключиться, но уже подключенные клиенты не будут отключаться от Wi-Fi, если их уровень сигнала упал в процессе работы (т.е. не будет прыганье клиентов с AP на AP). Данная опция удобна, если вы не хотите, что бы к вашей Wi-Fi сети подключались далёкие клиенты со слабым сигналом, которые находятся на границе зоны покрытия вашей Wi-Fi сети. Такие клиенту могут снизить производительность всей вашей Wi-Fi сети и лучше не разрешать им регистрироваться.
  2. Если у вас используются старые Wi-Fi устройства, которые сами не переключаются с AP на AP и просаживают всю Wi-Fi сеть, да и сами плохо работают из-за слабого сигнала. Мне попадались с подобным поведением старые Wi-Fi IP телефоны и какие-то терминалы для сканирования штрих кодов. Вы можете настроить ограничение по уровню сигнала в Access-List’ах только для таких устройств (по MAC адресам).

Когда развернёте Wi-Fi сеть, протестируйте как работают ваши Wi-Fi клиенты и тогда уже принимайте решение с какими настройками использовать Access-List’ы или не использовать их вообще.

Как клиентское устройство выбирает частотный диапазон к которому подключиться

Часто возникает вопрос: как при одном SSID для 2.4 и 5 ГГц клиентское устройство выбирает частоту к которой подключаться?

Выбор частоты является ответственностью клиентского устройства.

Я проводил эксперименты на разных устройствах и конфигурациях сети. Результаты были следующие:

Если уровень сигнала на 5 ГГц удовлетворяет требованиям клиента, то он всегда подключается к 5 ГГц, если уровень сигнала падает до неприемлемого уровня, то он переключится на 2.4 ГГц. Если уровень сигнала на 5 ГГц вернулся в норму, то клиент автоматически ¹ не переключится к нему с 2.4 ГГц, переключить можно только принудительно — отключить и обратно включить Wi-Fi на клиентском устройстве.

Если вы создадите два SSID — отдельно для 2.4 и 5 ГГц и зарегистрируете клиента в обоих SSID, то клиентское устройство будет работать абсолютно так же — всегда будет пытаться подключиться к 5 ГГц и, если нет… тогда уже к 2.4 ГГц.

Комментарий от 18/02/2018
1 — Я уже сомневаюсь в правильности моих утверждений на тему — «Если уровень сигнала на 5 ГГц вернулся в норму, то клиент автоматические не переключится к нему с 2.4 ГГц».

Автоматически переключиться может на 5 ГГц, но не на всех клиентских устройствах. Всё зависит от реализации Wi-Fi на конкретном клиентском устройстве.

Провёл эксперимент, который опроверг категоричность моего утверждения. Суть эксперимента в в следующем:

В Wi-Fi сети, под управлением CAPsMAN есть два разных SSID для 2.4 и 5 ГГц. Когда я перезагрузил CAPsMAN, то радиомодуль на 2.4 ГГц (cap1) поднялся сразу и к нему подключился ноутбук, а вот модуль на 5 ГГц (cap2) выполнял процедуру Radar Detection и поднялся позже.

В этот момент, ноутбук увидел SSID с 5 ГГц и автоматически переключился с 2.4 GHz (cap1) на 5 GHz (cap2).

Лог:

21:16:31 caps,info 28:AF:5E:3D:BA:BF@cap1 connected 
21:16:56 caps,debug cap2: radar not detected on channel 5260/20-Ce/an/DP(20dBm) 
21:17:24 caps,info 28:AF:5E:3D:BA:BF@cap1 disconnected, received disassoc: sending station leaving (8) 
21:17:25 caps,info 28:AF:5E:3D:BA:BF@cap2 connected

Так что, не всё так однозначно в этом вопросе…

Многое, а если точнее — почти всё, зависит от реализации Wi-Fi на клиентском устройстве и в этом одна из самых больших проблем Wi-Fi. Не может Wi-Fi точка доступа или контроллер управлять клиентским устройством, клиент сам решает как ему работать, какие частоты выбирать, как производить процедуру роуминга и т.д.

Презентации с MUM на тему CAPsMAN

Полезные ссылки

Ссылки на описание работы роуминга у разных производителей

Цикл статей по роумингу в сетях Wi-Fi

The following two tabs change content below.
В профессиональной сфере занимаюсь всем, что связанно с IT. Основная специализация - VoIP и сети передачи данных. Стараюсь не заниматься Windows серверами (но иногда приходится) и 1С.

Настройка MikroTik CAPsMAN v2 на hAP ac (2.4 ГГц и 5 ГГц) с роумингом (Handover): 299 комментариев

  1. Ivan Chirkov

    Спасибо за статью!
    Не могли бы вы подробнее рассказать/объяснить в чем разница (на практике) между включенным и выключенным Local Forwarding?
    Когда стоит включать Local Forwarding, а когда выключать?

    Из своего опыта могу сказать, что при выключенном Local Forwarding переключение между капами происходит почти незаметно (например, разговор голосом по Skype фризится на мгновение и пользователи этого почти не замечают), а вот если Local Forwarding включен, то тот же Skype звонок в большинстве случаев отваливается. Почему так происходит?

    1. Андрей Торженов Автор записи

      На тему Local Forwarding.

      У нас есть два CAP’а:
      CAP1, на нём поднят CAPsMAN и Wi-Fi AP.
      CAP2, поднят Wi-Fi AP.

      Если выключить Local Forwarding, то трафик от клиентов CAP2 пойдет через CAP1. Т.е. от CAP2 до CAP1 организуется некий туннель и весь трафик будет идти через CAP1 CAPsMAN. Если CAP’ов много и у всех выключен Local Forwarding, то ВЕСЬ трафик от пользователей этих CAP’ов будет идти через CAP1. CAP1 будет ЕДИНОЙ точкой входа и выхода трафика всей Wi-Fi сети.

      Если включен Local Forwarding, то трафик от всех CAP’ов (Wi-Fi клиентов) будет терминироваться локально, не будет идти на CAP1.

      Как-то так…

      Да, при выключении Local Forwarding, переключение может быть быстрее.

      1. Ivan Chirkov

        Спасибо за ответ.

        А есть ли у вас опыт или информация, как capsman разруливает коллизии в wi-fi сети? Имеется ввиду проблема скрытого узла (http://zscom.ru/chto-takoe-polling-v-wifi-setyah)
        Ведь деже при двух капах пользователи уже могут «не видеть» друг друга напрямую при этом находят в одной wi-fi сети.

        У меня есть 4 капы, разбросанные по офису (настроено как в вашей статье, за исключением 5Ghz (нет) и LocalForwardin (выключен)). Время от времени у клиентов пропадает интернет, при этом соединение с wi-fi не пропадет. Интернет возвращается через пару минут или после отключения включения wi-fi на машине клиента. Подозрение на коллизии в сети.

        1. Андрей Торженов Автор записи

          На тему коллизий. У MT есть режим: Frame protection support (RTS/CTS)
          подробней тут: http://wiki.mikrotik.com/wiki/Manual:Interface/Wireless#Frame_protection_support_.28RTS.2FCTS.29

          TDMA у них тоже есть (режим Nsteram и NV2).
          Это проприетарный режим, работает только с Микротиками.
          Подробней тут: http://wiki.mikrotik.com/wiki/Manual:Interface/Wireless

          Frame protection support можно настроить в CAPsMAN, TDMA пока не поддерживается, да и думаю вам это не нужно.

          С такой проблемой, как у вас не сталкивался… думаю вам лучше тут вопрос задать: http://forum.nag.ru/forum/index.php?showforum=56

          Может есть какие-то закономерности у тех пользователей, которых возникают проблемы? Одинаковые wifi карты например?

          1. Эдуард Гильмутдинов

            Смотрите. Есть контроллер RB3011UiAS без wifi он является Capsman. Есть 4 точки доступа RBcAPGi-5acD2nD подключенные к контроллеру по витой паре в каждый порт. Что бы клиенты видели друг друга я создал на каждой точке бридж и все интерфейсы туда добавил. И в Capsman поставил галку Local Forwarding что бы клиенты ходили к друг дуру через точку свою АР а не через контроллер. Сервер с 1с подключен по витой паре к контроллеру. Но клиенты на ноутах жалуются на скорость в 1с и интернет (хотя последний 100мб) Сеть по витой паре везде гигабитная до точек доступа. У клиентов коннект максимальный 150мб. Еще проблема клиенты подключаются автоматом не к своей точке доступа а в соседний кабинет.

          2. Андрей Торженов Автор записи

            У клиентов коннект максимальный 150мб.

            Это канальная скорость Wi-Fi, к реальной скорости эта цифра ни какого отношения не имеет, тем более если у вас используется диапазон 2.4 ггц. Обычно он очень зашумлён соседями и реальная скорость может быть меньше раза в 10 или даже ещё меньше. Нужно сделать замеры реальной скорости когда жалуются.

            Просканируйте эфир, посмотрите много ли ещё «соседей» находятся на данном диапазоне.

            Еще проблема клиенты подключаются автоматом не к своей точке доступа а в соседний кабинет.

            Только сам клиент принимает решение к какой точке доступа подключаться. Контроллер в этом не участвует! Скорей всего, клиентское устройство получает более мощный сигнал от соседней точки, к ней и подключается.

            Поиграйтесь с выходной мощностью на точках доступа. Например уменьшить у соседней. Так же можно попробовать переместить точки доступа в другое место.

    2. Никита Иванов

      Я так это понял: при включенном каждая точка доступа работает как шлюз, а при выключенном — все стекается через контроллер. Типа чтобы разгрузить точку доступа.
      Например, если кто качает торрент, то нагружается только одна точка доступа а не контроллер.

  2. Сергей Каменев

    Благодарю за прекрасную статью. Очень всё подробно, даже слишком. Единственное что мне не удается реализовать, так это пункт Local Forwardung, если его включить то происходит следующее:

    Прикрепленный файл:

    1. Андрей Торженов Автор записи

      CAPsMAN создан, что бы централизованно управлять всеми точками Wi-Fi (CAP).

      Вы можете запустить скрипт на CAPsMAN и выполнять в скрипте команду:

      /caps-man security set security1 passphrase=yourNewPsk

      Где security1 — ваш профиль с настройкой безопасности.

      После этого, автоматически на всех CAP’ах пропишется новый PSK.

  3. Aleksandr Gribanov

    Добрый вечер.

    При настройке AP на CCR
    прибег к vlan-ам
    В datapaths
    прописал vlan21 use tag — см вложение — https://yadi.sk/i/hU9CGCTs3EAcBe
    Все подключающиеся пользователи получают от DHCP адреса согласно влану.

    Тут все хорошо.

    В настройках точек САР выставлено так см вложение

    если выключить САР на АР то точка доступна по сети и я на нее могу подключится, стоит вкл САР на точки доступа, по кабелю я вижу только шлюз, а при попытке подключится к точкам, узнав их ИП или МАС через шлюз. Я уже ни как не могу подключится.

    Если же выключить САР на точках, то все ок. Они становятся доступны и можно подключится к ним.

    На точках есть бридж — и в него добавлены как wlan-ы так и ethernet, но я не думаю, что проблема в этом.

    Еще вопрос: Можно ли через Сарsman настроить белый список?

    Прикрепленный файл:

    1. Андрей Торженов Автор записи

      C VLAN вам не помогу, пока не было необходимости использовать VLAN на Микротик. Я его использую дома и в связи с этим нет нужды в сложных топологиях. Основная моя работа связана с другим оборудованием (Cisco, Avaya, HP и т.д.), в нём я более компетентен.

      Что вы имеете ввиду под белым списком? Что бы доступ к Wi-Fi был только по определённым MAC адресам, а остальным запрещено?

      1. Aleksandr Gribanov

        Да, фактически нужно отсекать всех кто не в белом списке.
        Пока добавляю в Ассеss лист по MAC-y устройства, потом я так понял одним делаю access другим drop(reject), но встает проблема так как итнерфейс можно выбрать только один, а ставить блок на все мне не надо, так как есть гостевой интерфейс.

        1. Андрей Торженов Автор записи

          Сейчас нет возможности проверить. Можно попробовать так:

          Создаём AL правило для SSID GUEST, разрешающее доступ в сеть нужному MAC:

          /caps-man access-list add ssid-regexp=GUEST mac-address=01:02:03:04:05:06 action=accept

          Создаём второе правило AL для SSID GUEST, блокирующее всем доступ в сеть:

          /caps-man access-list add ssid-regexp=GUEST mac-address-mask=00:00:00:00:00:00 action=reject

          Данное правило всегда должно быть последнее в списке!

          1. Aleksandr Gribanov

            Добрый вечер, если я правильно понял, то данное действие приведет к такому результату:

            if хоть один мак присутствует в списке then accept else reject?

            Я проверю, отпишусь.

          2. Андрей Торженов Автор записи

            Да именно так.
            Я сейчас всё проверил у себя, работает.
            Немножко подкорректировал команды:

            /caps-man access-list
            add action=accept disabled=no mac-address=28:87:96:93:79:B9 ssid-regexp=CRUX
            add action=reject disabled=no ssid-regexp=CRUX

            В логах, при попытках подключения не прописанных в белом списке клиентов, будет следующее:

            20:47:48 caps,info 18:CF:5E:AD:CA:4F@cap1 rejected, forbidden by access-list

  4. sskiller

    Всем привет. Есть вопрос по сару. Настроили на двухдиапозонке капу. Магистраль по 5Ггц а сам капман на 2Ггц.
    То есть, без проводов. Как считаете этот конструктор по стабильности?
    Видал один раз капу намутили на одном вифи интерфейсе в 5Ггц и много вланов, конфиг не скинул жаль. Тоесть там магистраль работала в 5Ггц а эзернет вешался на ип камеры. точки были какие то sxt.

  5. buran

    Отличная статья, но хотелось бы спросить, если один микротик подключен к другому по кабелю через PoE in/out настройки аналогичны?

    И второй момент если к клиенту capsman подключить кабелем к примеру пк, то он увидит клиента который подключен кабелем к самому capsman?

      1. buran

        Может я что-то настроил не так, но суть такова.

        Контроллер микротик имеет внутреннюю адресацию 192.168.0.0, соответственно шлюз для сети этого микротика 192.168.0.1

        В порт poe out (5) я воткнул второй микротик, у него адрес этого интерфейса 192.168.0.204.
        Но внутренний dhcp сервер раздает ip адреса сети по умолчанию 192.168.88.0.

        Как мне сделать лучше, чтобы клиенты точки доступа были в той же сети, что и контроллера? Прописать на втором микротике dhcp сервер первого контроллера и отключить существующий dhcp сервер точки или существует еще какой то способ? Или необходимо объединить порты на втором микротике в один бридж?

        1. buran

          Сам же и отвечаю) на втором микротике отключил DHCP сервер, первый входящий порт poe in сделал мастером и все порты объединил в один бридж.

          1. Андрей Торженов Автор записи

            Да… Так и делается обычно… Контроллер является и шлюзом в интернет (nat/fw) и dhcp сервером… а все остальные CAP просто раздают wifi (на них выключено всё лишнее и DHCP сервер тоже) и обеспечивают ethernet интерфейс, если нужно.

            Но конечно топологий сети и вариантов настроек намного больше, то, что описал выше это типовое решение.

  6. mrrc

    Спасибо за труд, одна из самых подробных и развернутых статей по обсуждаемой теме.
    Настроил в точности по приведенному руководству, все функционирует на тестовом стенде.
    Заметил следующее:
    1. При отключенном Client To Client Forwarding один из подключенных к точкам узлов продолжает пинговать подключенного «соседа». По идее, в этом случае подключенные к точкам устройства должны быть изолированы друг от друга полностью?
    2. Если точек будет больше, скажем четыре-пять, разделить на индивидуальные частотные каналы также рекомендуете по аналогии со статьей?
    3. Было бы интересно увидеть статью в вашем исполнении о поднятии Slave-конфигурации и прикручивания к ней Hotspot-а. Ведь CAPsMAN с HotSpot-ом вещи совместимые?

    1. Андрей Торженов Автор записи

      Пожалуйста! Приятно что кому-то пригодился мой труд.

      1. На версии ROS 6.38.5 при выключении Client To Client Forwarding ping’и между клиентами пропадают, только что проверил. Для примера мой конфиг:

      /caps-man datapath
      add bridge=BRIDGE-LAN client-to-client-forwarding=no local-forwarding=no name=datapath1

      2. В моей статье приведён сложный вариант провижининга (настройки) CAP’ов. Каждой CAP выделяется свой индивидуальный непересекающийся частотный канал. Это актуально, когда большая плотность установки WiFi точек доступа, они видят друг-друга и много wifi клиентов. Что бы точки доступа не мешали друг-другу, нужно их разносить на разные непересекающийся частотные каналы (для примера, если это 2Ghz диапазоны, то каналы будут 1-6-11). Если сеть wifi и нагрузка небольшая и точки доступа (CAP’ы) не видят друг-друга, тогда можно особо не заморачиваться и в Channel не указывать частоту канала (и тогда можно сделать один Channel для всех CAP’ов), Mikrotik во время привижининга CAP’ов сам выберет наименее загруженный канал.

      Для построения качественной WiFI сети,в любом случае, необходимо производить радиоразведку, делать предварительные расчёты зоны покрытия, продумывать где будут размещаться CAP’ы (точки доступа), на каких они буду частотных каналах и будут ли они мешать друг-другу.

      3. Пока не приходилось на Mikrotik настраивать HotSpot, так что подсказать не могу. Настроить slave конфигурацию не проблема, делал это, но без hotspot’а. Если когда будут настраивать, опишу эту поцедуру.

      1. mrrc

        Благодарю, Андрей!
        Касаемо изоляции между собой подключаемых клиентов — перепроверил, связь почему-то остается.
        Конфиг и версия ROS идентичные у нас с вами.

        /caps-man datapath
        add bridge=bridge2 client-to-client-forwarding=no local-forwarding=no name=datapath1

        Что с local-forwarding=no, что с local-forwarding=yes.

          1. mrrc

            Еще раз перепроверил, действительно изоляция работает только в рамках одного капа независимо от значения local-forwarding, более того, если САРы двухдиапазонные, то только в пределах одного радиомодуля, т.е., например, когда два клиента подключены к одному и тому же САРу на 2.4GHz — изоляция работает. Если же один сел на 5Ghz, а другой на 2.4GHz, то изоляции нет и в пределах одного CAPа.
            Было бы неплохо, чтобы кто-то перепроверил сказанное на своем оборудовании.

          2. Андрей Торженов Автор записи

            Это логично и как мне кажется правильно.

            Задача изоляции wifi клиентов стоит в том, что бы уменьшить паразитный трафик в одном частотном радиоканале, это важно, т.к. один частотный канал делится между всеми клиентами, это общая среда передачи, что приводит к коллизиям, снижению скорость, потере пакетов и т.д.

            Если стоит задача изолировать всех клиентов между собой на всех радиомодулях и CAP’ах, для этого есть фильтры в бридже или файрвол.

      2. Denis Chashin

        Добрый день!
        » Если сеть wifi и нагрузка небольшая и точки доступа (CAP’ы) не видят друг-друга, тогда можно особо не заморачиваться и в Security не указывать частоту канала (и тогда можно сделать один security для всех CAP’ов)»

        Опечатка? Не Security, а Channel.

  7. mrrc

    Изоляция всех подключаемых клиентов между собой тоже может быть полезна в определённых случаях, когда этим пользователям ну никак не нужно иметь какой-либо доступ к подключенным устройствам своих «соседей».
    Пока глубоко не тестировал, ограничение сделал в бридже:

    /interface bridge filter
    add action=drop chain=forward in-bridge=bridge2 out-bridge=bridge2

  8. mrrc

    Касаемо нового комментария в описании настройки по сообщениям в логе контроллера

    caps,info 28:FF:4E:BD:CA:4F@cap3 disconnected, group key timeout

    Указанное значение group-key-update=1h добавлено, но на наличие записей в логе это никак не повлияло, впрочем статистики по стабильности работы подключений у пользователей пока тоже еще не наработано и носят записи информативный характер или реально сигнализируют об отваливании связи у подключенных клиентов — пока сказать не могу.

      1. mrrc

        Насколько минимизирует? В вашем случае после внесения значения group-key-update=1h клиентские устройства по факту стали отключаться реже по описанной проблеме?
        У себя я вижу, что сообщения в логе реже не стали, но и пока явных жалоб на сбои в работе не поступали (может это только пока, времени мало прошло с момента развертывания комплекса и пользователей мизер еще).

        1. Андрей Торженов Автор записи

          У меня маленькая сеть. Сообщений стало меньше.

          Если поискать на forum.mikrotik.com, то видно, что данная проблема часто (но не только!) возникает с iPhone когда они засыпают. Насколько я понял, свойственно это определенным версиям iPhone/iOS.

  9. Abriel Lafiel

    День добрый! Такой вопрос — настроил 2 provisioning, 1 для 5ггц другой для 2.4.
    Срабатывает только один при включении точки в cap mode при помощи зажатия reset (wlan2 на точке не получает настройки и не становится под capsman)
    Если зайти на точку и вручную включить для него cap — все хорошо.
    Не сталкивались с такой проблемой?
    Очень не хочется конфигать вручную, хотелось бы масштабируемое решение…
    точки wap ac

    1. Андрей Торженов Автор записи

      Нет, не сталкивался. Я всегда вручную прописывал адрес CAPsMAN на CAP.

      Когда первый раз настраивал двухдиапазонные точки, были проблемы когда неверно указал hw-supported-modes, тогда второй диапазон не настраивался… Но я так понимаю, это не ваш случай.

      1. Abriel Lafiel

        Не покидало сомнение, что это связано с hw-supported-modes, но! Если я вручную включаю caps на 5ггц интерфейсе, то все работает…

        Есть еще мысль о том, что апшки привязываются по маку eth1 и provisioning не выполняется для одного и того же мака дважды. Как проверить — не знаю.

          1. Abriel Lafiel

            add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
            xdd5 name-format=prefix name-prefix=lenin5- slave-configurations=\
            lenin-5G
            add action=create-dynamic-enabled hw-supported-modes=b,gn master-configuration=\
            xdd2 name-format=prefix name-prefix=lenin2- slave-configurations=\
            lenin-2G

          2. Андрей Торженов Автор записи

            Может стоит попробовать для теста, сделать простую конфигурацию, с одной master конфигурацией? Протестировать и посмотреть на результаты.

            Вот мой провиженинг для wap ac, но я не пробовал настраивать CAP через кнопку, сам настраивал IP адрес CAPsMAN.


            /caps-man provisioning
            add action=create-dynamic-enabled hw-supported-modes=ac,an \
            master-configuration=cfg_5g
            add action=create-dynamic-enabled hw-supported-modes=b,gn \
            master-configuration=cfg_2g

          3. Abriel Lafiel

            попробовал на одном мастер конфиге с 5ггц без слейвов — та точка, что была вручную сконфигурирована — поднялась, остальные — появились как cap1 cap2 (у меня — префиксы должны были быть) и без сети, со статусом MB.

          4. Abriel Lafiel

            посетила меня тут одна мысль — проблема в дефолтном конфиге.
            Попробовал следующее:
            — при старте держим 5 секунд для сброса конфига — в итоге видим 2 сети с последними символами мака.
            — перетыкаем, держим 10-12 секунд, точка уходит в CAP и появляется с 2 сетями! Жесть какая-то, попробую сейчас с другими точками тот же фокус для закрепления.

          5. Abriel Lafiel

            Все-таки что-то с конфигом у них было (который default).
            Попробовал со второй точкой (новая, достал с коробки)
            Первым делом вогнал ее в cap через кнопку — поднялась только 2.4 сеть
            Сделал ресет, повторил с cap — поднялись обе сети.
            Есть подозрение что в конфиге идет 5ггц сеть отключенной.
            Но факт — после сброса с кнопки работает.
            Осталось разобраться как еще в довесок передавать настройки не связанные с wifi (устанавливать пароль администратора на точках как минимум).

  10. Андрей Рыжов

    Обязательно ли создавать бридж для Capsman?Не до конца понимаю какую функцию он выполняет… Если к примеру я на интерфейсе создам 2 vlana, затем в настройках datapath укажу vlan id не будет ли это удобней?

    1. Андрей Торженов Автор записи

      Не совсем понимаю о чём вы…
      В данном случае бридж используется для объединение всех CAP на втором уровне. Думаю возможны и другие варианты настройки, всё зависит от требования. В моём случае описана настройка с бриджом.

    1. Андрей Торженов Автор записи

      Здравствуйте!

      Не могу ответить… Нужно учитывать много факторов:
      * Понимать какой будет тип трафика от пользователей (торрент, iptv, voip или просто серфинг в инете с проверкой почты).
      * Какая скорость будет выделяться пользователям.
      * Какие уровни сигнала будут от пользователей.
      * Какие частотные диапазоны.
      * и т.д. и т.п.

      Вам лучше задать данный вопрос тут: http://forum.nag.ru/index.php?/forum/56-mikrotik-wireless/

      1. Vitaly Kravchenko

        просто серфинг с почтой, скорость зарезана будет
        по диапазонам будут оба использоваться
        и на этих точках будет только wifi, без дополнительного подключения кого то к портам

        вообще интересно потянет 50 подключений (1точка) или надо будет еще докупать

          1. Андрей Торженов Автор записи

            Сложно мне ответить. У меня на них было может 15 пользователей… Нет опыта с большими инсталляциями на данном оборудовании.

            При небольшой нагрузке думаю проблем не будет, а если все будут торрент качать… где много маленьких пакетов, то проблемы могут быть.

            Да и думаю есть смысл ограничить пользователей по уровню сигнала, но тут могут быть проблемы на старых ios.

  11. mrrc

    Андрей, еще раз спасибо за статью, все структурировано, хоть некоторые моменты и не были озвучены, но это уже дело практики и опыта эксплуатации, наверняка по вашей статье с ноля была настроена не одна сотня контроллеров.
    Вопрос к обсуждению у меня касаемо ширины канала в 5G диапазоне. Если мы хотим использовать на точках три (по аналогии с 2,4G) непересекающихся канала, но каждый с шириной до 80МГц, то по моим расчетам это будут частоты 5180 в Сеее, 5240 в Сеее, 5300 в Сеее, т.е. каналы 36 (5180-5240), 48 (5240-5300), 60 (5300-5520) или в данном случае будет пересечение всех трех каналов, никак не могу сообразить?
    И у вас выше в сноске с описанием расчета ширины каналов неточность, Cee или eeC (во всяком случае, на данный момент) нет, для поддержки 20/40/80МГц служит Ceee, eCee, eeCe, eeeC.

    1. Андрей Торженов Автор записи

      Спасибо за отзыв и спасибо за замечание про Cee, исправил!

      Насчёт частот. В вашем случае, если я ни чего не путаю, один канал 5Ghz на 80 Mhz будет занимать с 36 по 48 включительно! Т.е. следующий канал будет с 52.

      В аттаче к комменту схема распределения каналов.

      Прикрепленный файл:

      1. mrrc

        Спасибо, эта схема расклалки по каналам меня и смутила.
        Следуя ей, в вашей статье создаваемые каналы на 40Мгц для 5 Ghz также пересекаются.
        В случае двух каналов по 40МГц — это с 36 по 40 и с 44 по 48 включительно.

        1. Андрей Торженов Автор записи

          Да, вы правы. У меня ошибка.
          Когда в лабе создавал данную схему для написания статьи, сначала использовал 20Mhz, потом перевел на 40, а частоты не поменял.
          Я внесу поправку в статью, но считаю, что это не критичная ошибка, т.к. она рассказывает как настраивать CAPsMAN, а не как проводить радиопланирование.

          Еще раз спасибо за замечание!

  12. Viktor Gorbachev

    Как поднять CAPsMAN на прошивке 6.41rc?
    На более ранних версии все настраивается и работает отлично. На версии 6.41rc не заработал.
    Нужно именно на этой прошивке, почему не спрашиваете. Знаю что она на бета тестировании.
    RouterBOARD 951G-2HnD
    CRS109-8G-1S-2HnD

  13. Dmitry Dvonk Korneev

    Спасибо за труд, очень помогли.
    Вопрос — есть ли инструкции, как в подобной системе на основе CAPsMAN организовать guest wi-fi в самом привычном ее понимании — доступ только в интернет.

    Спасибо!

    1. Андрей Торженов Автор записи

      Пожалуйста!

      Статьи готовой нет…

      Если стоит задача для гостевого SSID сделать доступ только в интернет, то можно создать отдельный bridge для гостей, к нему привязать гостевой DHCP сервер со своей IP сетью для гостей, а дальше уже в Firewall запретить доступ гостевой IP сети везде кроме Интернет…

      Созданный bridge привязывается к datapaths который будет использоваться для гостевой SSID.

      Это как один из вариантов… Также можно сделать с VLAN’ами.

      Ниже ссылки с материалами с MUM. В них описаны похожие задачи. Там есть примеры конфигураций.
      https://2keep.net/presentation_4701_1508319982
      https://2keep.net/presentation_2709_1444122809

          1. Dmitry Dvonk Korneev

            Наконец-то дошли руки до гостевой сети. Сделал на контролере capsman еще один бридж, завел на нем dchp со своим пулом адресов 192.168.89.0/24, завел правила в файерволе (запртетить из гостевой доступ к основной и наоборот), добавил маскарад в nat для этой подсети, создал новый rout — все вроде сделал.
            На capsman поднял конфигурацию гостевую с новым бриджом в datapath с отключенным local forwarding.
            В итоге — гостевая сеть поднялась, раздает ip адреса в подсети 192.168.89.0, но доступа в инет нет.
            Что интересно, что адреса в основной сети раздаются с начала пула, а в гостевой почему-то с конца — типа 254.
            При этом изнутри микротика железка в гостевой сети не пингуется, а если она в основной сети — то пингуется (кое-как, но все-таки).

          2. Dmitry Dvonk Korneev

            Да, примерно что-то в этом духе и сработало. Отключил правила — заработало без ограничений доступа из гостевой в основную сеть, включил их опять — и заработало уже как надо, с ограничениями. Что это было — «уму не растяжимо» (С)
            Кстати, после того как поднял систему с контроллером и 3 CAPами, уткнулся в другую проблему — wi-fi клиенты постоянно отваливались от интерфейсов, в логах было полно записей типа «4-way handshake timeout». Проблема довольно часто обсуждаемая, но курение интернетов особого результата дала — кто-то пишет, что это мол наследственная болезнь взаимодействия Микротиков и Apple (но отваливались и ведроиды), у кого-то исправлялась ошибка в момент апгрейда RouterOS, кто-то отключал rts cts и все в таком духе. У меня вылечилось установкой Hw. retries до 7 (другие значения не пробовал), полет стабильный.
            Частоты для CAPов вообще не указывал в конфигурациях CAPSMAN, он их сам раскидывает по каналам. Правила в Access List сначала создал, но потом убрал, пока и без них вполне себе незаметно перекидывает клиентов от точки к точке, пока перемещаешься.

          3. Андрей Торженов Автор записи

            Хорошо что всё заработало!

            Про «4-way handshake timeout» спасибо, учту если столкнусь с такой проблемой.

            На тему Access List… Да, я их тоже создавал, но отключил. Это больше костыль для старых wifi чипов, которые держались до последнего на AP и их нужно было принудительно отбрасывать. Сейчас, с новыми wifi подобные проблемы редко наблюдаются…

          4. SAV SAV

            Доброго времени суток!
            Андрей, а можно ли настроить в CAPsMAN гостевую беспроводную сеть с включенным Local Forwarding?

          5. Андрей Торженов Автор записи

            Можно, но тогда нужно использовать VLAN что бы разделить две сети и выделить свои DHCP сервера и т.д.

            Это первое, что пришло в голову.

          6. SAV SAV

            Спасибо за ответ! А без использования VLAN возможна реализация данной конфигурации?

          7. Андрей Торженов Автор записи

            Если только один MT с WiFi то можно просто создать два бриджа, а если два и более, то нужно же как-то передать на центральный МТ инфу из какой сети клиенту выделать IP по DHCP, разграничить доступ между сетями (firewall), разделить броадкаст домены (L2) и т.д.

            Для этого и служит VLAN (он помечает, тегирует, фреймы) ну или отключить Local Forward и всё туннелировать на CAPsMAN и на нём все это делать.

            Я бы сделал каким-то из двух вариантов — VLAN или отключение Local Forwarding.

            Второй вариант проще, но и требует больше ресурсов.

            Может есть и ещё варианты, но я считаю двух уже достаточно и они правильные.

          8. SAV SAV

            У меня сейчас в качестве контроллера настроен RB951 с CAP на бору + есть одна точка доступа cAPlite. Использую конфигурацию с выключенным Local Forwarding и 2-мя бриджами на CAPsMAN для основной и гостевой сетей.
            Я так понял реализовать вариант без VLAN в данной ситуации не получится?

          9. SAV SAV

            Спасибо за статью и совет в частности! VLAN на MT я еще не осваивал (многие пишут, что этот функционал в микротиках реализован достаточно запутано и усложненно), поэтому интересовался альтернативными способами. Теперь появился повод для изучения настройки VLAN на MT

          10. Андрей Торженов Автор записи

            Хороший повод разобраться с VLAN.

            VLAN на MT настраивается или через Bridge (новая реализация, настройки почти как у любого другого вендора). Тут можно для начала посмотреть https://youtu.be/wbmHmCDce5Y (я всё ни как не напишу статью).

            И через меню Switch (реально муторно, у каждой модели немного по разному настраивается).

            Лучше использовать Bridge (в будущем будет только он). Но на старых моделях MT всё это работает через CPU и может нагружать Mikrotik. Насколько сильно нагружает, не тестировал.

          11. SAV SAV

            Еще раз благодарю! А вот статья была бы очень даже кстати. Что-то мне кажется даже более актуальна чем про настройку CAPsMAN. Жду с нетерпением))

  14. Andrey

    Андрей, добрый день. Есть настроенный capsman на 2х hap ac lite, необходимо подключить еще один без проводов по 5 GHz. Подскажите пожалуйста вариант подключения.

    1. Андрей Торженов Автор записи

      Здравствуйте!

      Можно вывести радиомодули на 5ггц из под управления CAPsMAN и использовать их только для организации соединения точка-точка между двумя MT (радио мост).
      В этом случае у вас не будет 5 ггц для клиентов (точнее будет, но только на одном из трёх MT).
      Радиомост в этом случае настраивается как обычно (CAPsMAN не используется).
      Пример: https://lantorg.com/article/nastrojka-mikrotik-dlya-soedineniya-tochka-tochka

  15. Слава Лухманов

    Огромное спасибо за статью! Настолько подробную и простую, что я наконец-то почти понял Mikrotik! 🙂 Вы проделали огромную работу (радует обилие и скриншотов и терминальных команд), спасибо за титанический труд! И очень здорово, что информация актуальна — последние уточнения и обновления. Статья живет и пополняется, а не морально устаревает, как бывает на просторах интернета по истечении пары лет/месяцев… Mikrotik — очень крутая штука, и постоянно что-то новое они допиливают/обновляют/внедряют. Полюбил их оборудование и ROS с первого опыта общения. Очень здорово, что есть такие люди как вы, которые разжевывают сложные моменты нам — простым обывателям 🙂
    Еще раз спасибо за статью! Добавлена в закладки, отправлена другим админам/любителям, ресурс однозначно ценный, будет регулярно посещаться в будущем!

  16. Sobalich

    Здравствуйте, Андрей!

    Подскажите, пожалуйста, некоторые нюансы настройки RB962UiGS-5HacT2HnT и RBwAPG-5HacT2HnD. Первый раз настраиваю такое оборудование. Версия прошивки 6.41.4 на обоих.
    Я так понимаю что пакет wireless-cm2 называется теперь wireless.
    1. Я получай внешний IP по кабелю от DHCP провайдера соответственно автоматически. В настройках по умолчанию ether1 не входит в бридж т.к. как я понимаю это порт WAN. В вашей статье его предлагается включить в бридж, но в это случает как будет организовываться роутинг или у вас другой случай?
    2. В конце настройки при передачи управления CAPsMANу требует включить сертификаты. После включения вайфай отрубаеться полностью.

    1. Sobalich

      Дополнение.

      При передачи управления wlan CAPsMAN (Lock to CAPsMAN) если поле Certificate оставить NONE то выдает ошибку «Could`t change CAP- can not to CAPsMAN whitout certificate (6)

      Если в CAPsMAN сертификати выставить его в Wireless при привязки к CAPsMAN-у nj wifi просто отключается в интерфесах и при попытки включить выдает что интерфейсами управляет CAPsMAN.

      1. Sobalich

        Вы не поверите. 🙂 Все заработало после того как на RB962 я активировал режим CAPsMAN кнопкой. (включай в сеть и держи 10 секунд).
        При подключению через winbox выдало окошко которое мне сообщило что устройство работает с режиме CAPsMAN.

        О майн гот 🙂

  17. Sobalich

    Новая проблема CAPSMAN заработал, но теперь клиенты не получают IP.
    Пытался в разделе IP настроить DHCP ничего не изменилось.
    Где это настраивать?

    Спасибо большое за ответ и за статью!

      1. Никита Иванов

        Андрей, спасибо за статью. Нашел тут немного объяснения некоторым терминам.
        Перевел недавно офис с Unifi на CapsMan — глюки софтового unifi окончательно расстроили. А cloudkey покупать не хотелось. Часто использовали микротики в качестве роутеров в удаленных офисах (впн), решили потестить CapsMan и пока не жалеем.

        Вопрос пока не решен один: как вешать точки доступа RBwAPG-5HacT2HnD ?
        Под потолок? на уровне головы? На стене? Интересна физика работы антенны в этих точках.
        Куда они должны быть направлены? Куда идет основное излучение? Или это совсем не важно?

        Боюсь что если повешу вниз головой как тарелки Unifi — сигнал будет уходить в пол и частично терять силу. А если направить ее куда-нибудь то каков сигнал будет сзади?

        1. Андрей Торженов Автор записи

          В даташите на данную точку указано, что антенна имеет диаграмму направленности 360 гр, т.е. она всенаправленная. Вешать можете как угодно (в даташите показано что монтировать AP могут как вертикально, так и горизонтально).
          Даташит прикрепил к комментарию.

          А что не так с unifi ? Какие были проблемы?

          Прикрепленный файл:
           wAP_ac-170405141014.pdf

          1. Никита Иванов

            Спасибо!

            Проблемы были с серверной частью, установил как службу, постоянно глючит, висит, нагрузка -100 юзеров в среднем. около 8 точек. Постоянно зависали точки, приходится ребутать, причем есть сеть, а инета нет. Рестарт помогает. Само все глюченное, вебка постоянно висла.

          2. Андрей Торженов Автор записи

            Понял… С юнифи работал, но в небольших масштабах… Буду учитывать.
            Ставил с cloudkey, не висло… но там совсем маленькая нагрузка была.

  18. Никита Иванов

    я уже не раз сталкиваюсь с софтварным unifi — воз и ныне там, работает очень плохо.
    версии последние всегда были. И дела как раз в нагруженности, точка зависает. У меня были точки и обычные 2.4 и Про (2 диапазонные).
    еще заметил что выгорают светодиоды индикации после 1-2 года работы. такое ощущение что точка дохлая, ан нет, работает.

  19. 1magic

    Спасибо огромное за статью. Благодаря Вам я стал пользоваться Микротиками.
    Но вот возникла необходимость настроить бесшовный роуминг в 2-х этажном доме. Настроил по вашей рекомендации на 3-х Микротиках 952Ui-5ac2nD. Все они соединены проводами. Используется RouterOS 6.41.2.
    На каждом сделал разбивку по частотам. CAPsMan на 1 канале, CAP2 на 6-м, CAP3 на 11-м. CAPsMan и CAP2 стоит на первом этаже в разных углах, CAP3 — на втором этаже примерно посередине. Поначалу все более-менее работало. Не всегда вовремя переключалось (видимо тянулся сигнал с другой точки). Проблема в том, что стены толстые с арматурой и соединение с WiFi еще есть, а сайты уже не открываются.
    Через недельку стало совсем печально — чтобы подключиться к точке необходимо было вручную её найти и выбрать подключение (т.е. сигнал пропадал и не подключался автоматически к другой точке, хотя я стоял рядом).
    Игрался с параметром access-list — ставил как Вы рекомендовали, потом ставил -74..120, затем наоборот -84..120 — не помогает.
    Во вложении конфиг CAPsMan, может быть подскажите, как это победить?

    Прикрепленный файл:
     Config-MikroTik-CAPsMAN-router.zip

    1. Никита Иванов

      Не обязательно делать распределение каналов и отключение по слабому сигналу. Это адаптация для старых прошивок.
      Скорей всего, в Вашем случае, дело в непродуманном покрытии и слишком сильном излучении сигнала. Уточните свои модели устройств. Сделайте децибеллы на 50% от даташита устройств, нарисуйте схему сети с этажностью здания и толщиной стен. Практика показывает что сигнал хреновеет даже от одной стеклянной двери.

  20. 1magic

    Все 3 устройства 952Ui-5ac2nD. Ставил на 1-м этаже по центру один роутер в пределах соседних комнат сигнал был нормальным. Через одну комнату уже сигнал почти пропадал — роутер еще пинговался, но сайты уже не открывались. Поэтому разнес 2 роутера в разные стороны дома (противоположные) и 3-й на втором этаже по центру дома. Проблема и с телефоном и с планшетом. С ноутбуком еще не тестировал.
    Значит access-list по уровню сигнала можно отключить? Попробовать уменьшить уровень сигнала на всех устройствах?

    1. Никита Иванов

      По практике могу сказать — 1 перегородка, 1 стена и уже нет стабильного сигнала. Особенно если закрыть дверь, а дверь из стекла или картона. 2.4 еще пролезет, а вот 5.0 нет, ибо физика.
      Так что очень сложно сделать (и дорого) покрытие в каждом закоулке дома. Увеличение мощности не поможет, у данной модели мощность до 22 дб. Можете поиграться с 10..22.
      разносить в разные концы дома идея так себе — роутер транслирует одинаково вокруг себя, т.е. если распределить их по концам дома то жарить он будет с одной стороны только стену на улицу. И полезное покрытие уменьшается. Имеет смысл тупо в каждую комнату купить по данному роутеру или тарелочке определенного диапазона (подешевле), понимаю что жаба душит — но иначе в муравейнике из комнат нельзя.

      В офисах проще — повесил в коридоре или опенспейсе под потолок и ок.

      На мобилках и планшетах слабые передатчики вифи, я обычно еще тестирую с ноутом. Там где телефон плохо берет — ноут еще тянет. Но тут уже смысла нет, т.к. читай выше.

      access-list это костыль для старых прошивок. сейчас это уже не актуально.

      надеюсь у вас все cap-ы по ethernet-у подключены? не репитеры?

      1. 1magic

        Спасибо за советы!
        Все CAPы подключены по ethernet. Поставил последнюю прошивку. Убрал access-list, убрал ручное разнесение по каналам. Стало работать стабильнее. Но теперь немного другая проблема нарисовалась — захожу в комнату с CAP2, сигнал тянется еще от другого CAP1 от -83 до -91 децибел. Интернет естественно уже не работает. Секунд через 7-10 клиент переключается на местный CAP2. В принципе не особенно критично, но если в этот момент разговариваешь по Skype/WhatsUp/Viber, то звонок прерывается. У меня конфигурация с включенным Local Forwarding. Может убрать его?

        1. Никита Иванов

          Local forwarding уберите. access list-ы в случае с старыми девайсами лучше оставить. Как и пишет автор статьи.

          Я еще протестирую данные пункты на своих пользователях. Система уже на бою, 70-100 человек на трех кап-ах

        2. Андрей Торженов Автор записи

          Решение о переходе с AP на AP принимает ТОЛЬКО мобильный клиент. Точка доступа ни как не заставит Wi-Fi клиента перейти на другую AP (в этом не поможет даже 802.11r/i/k и др).

          Точка доступа может только «сбросить» клиента с AP, НО! клиент дальше сам принимает решение куда ему подключиться!

          Самое важное, что следует понять про роуминг (хендовер) на wifi:

          wifi клиент полностью контролирует переход от AP к AP, wifi клиент сам принимает решение когда и к какой точке доступа ему подключаться… AP, используя протоколы 802.11r/i/k (если они поддерживаются), может рекомендовать клиенту куда лучше переключиться, но финальное решение принимает клиент!

          В вашем случае, если мобильный клиент не переключается от AP когда ВИДИТ (видит ли?) другую AP с БОЛЕЕ мощным сигналом, то скорей всего у wifi адаптера кривые драйвера… Тут поможет только access-list созданный только для данного клиента на основе MAC адреса.

          Я немного переписал в статье инфу по access-list’ам, внёс комментарии и дополнение. Почитайте, может что-то новое вычитаете.
          https://2keep.net/mikrotik-capsman-v2-hap-ac-lite/#_Wi-Fi_handover

          В использовании access-list’ов есть ещё одна проблема. Устройства на старых iOS, когда их часто принудительно отключают от Wi-Fi AP, начинают считать эту AP неработоспособной (ну или плохо работающей) и через некоторое время больше к ней автоматом не подключатся. Может данная проблема есть и на других устройствах. Не проверял. Если это так, то в данном случае access-list’ы только навредят… вам придётся в ручную подключаться к своей wifi сети.

          Подытожить думаю можно так:

          1. WiFi точка доступа (и контроллер) ни как не может заставить wifi клиента переключаться на другую AP.

          2. Когда клиент подключён к AP и сигнал от AP падает ниже определенного уровня и в этот момент, wifi клиент видит мощный сигнал с таким же SSID и шифрованием от другой AP, клиент должен переключаться на эту AP.

          3. Если не выполняется пункт 2, то нужно применять для данных wifi клиентов access-list’ы по MAC адресу.

          P.S. Если у вас, ваши AP видят друг-друга, я бы не рекомендовал их вешать на один канал, будут мешать друг-другу, может снизится скорость. Local forwarding лучше выключите.

  21. Никита Иванов

    Потестил с access list, нашел багу что не подключается wi-fi на Iphone 7 пока не разблокируешь. После отключения данной опции — проблема ушла. Прям показательно. Рекомендую отключить для совсестимости.

    1. Андрей Торженов Автор записи

      С продукцией Apple и с iPhone в частности, часто проблемы у разных вендоров (например https://habr.com/post/327166). Apple считает, что только их реализации чего либо, являются самыми верными…

      У Cisco есть некие «улучшения» WiFi сделанные совместно с Apple для оптимизации работы продукции Apple в wifi сетях Cisco.

      Эти улучшения как раз касаются роуминга. Слушал вебинар Cisco, рассказывали красиво, НО!, если в сети используются ТОЛЬКО продукты Apple (iPhone) и свежих версий.

      Думаю вывод тут таков: если строишь wifi сеть для бизнеса и у тебя зоопарк из мобильных устройств, то есть большая вероятность, что какие-то устройства не будут нормально работать и мало того, они будут мешать нормальной работе другим устройствам.

  22. Maksim Gusev

    Что-то у меня трабла какая-то идет. Настроил CAPы на 3-х Mikrotik-ах, но на CAPsMAN появляются только 2 CAP — со 2 и 3-го Mikrotika. Всю голову себе разбил, нашел, что блокирует: у меня стоит правило на Firewall: input, которым отправляю в drop все лишние пакеты (кроме ping, dns, VPN и WinBox со внутреннего порта). Как только это правило выключаю — тут же появляется CAP с головного устройства. Включаю — CAP пропадает. Т.е. надо что-то разрешить перед этим правилом, но что? Подскажет кто?

    1. Андрей Торженов Автор записи

      Да, если фильтруется fw, то нужно прописать правила.

      Рекомендации с форума:

      1. Set CAPsMAN to discover address 127.0.0.1

      /interface wireless cap set caps-man-addresses=127.0.0.1

      2. Open Firewall for CAPsMAN, (Make sure the firewall rule comes right before the default rule whose comment is «drop all not coming from LAN»)

      /ip firewall filter add chain=output action=accept protocol=udp src-address=127.0.0.1 dst-address=127.0.0.1 port=5246,5247
      /ip firewall filter add chain=input action=accept protocol=udp src-address=127.0.0.1 dst-address=127.0.0.1 port=5246,5247

      Источники:

      https://forum.mikrotik.com/viewtopic.php?f=7&t=127517

      https://forum.mikrotik.com/viewtopic.php?t=109377#p553944

  23. Anatoli Zaev

    Добрый день!
    Приобрел hap ac2 и cap ac, т.к. живу в панельном доме, и через пару стен + куча точек доступа поблизости.
    Стремление — повторить то, о чем написано в Вашей статье. Сразу скажу, что с Микротиками никогда не имел дела. Спотыкаюсь на передаче локальных беспроводных интерфейсов под управление CAPsMAN. Я поигрался с правилами для fw, но то ли руки кривые, то ли с головой не дружу.
    Фишка в том, что в логах появляются записи, что CAPsMAN берет интерфейс под управление (дословно не могу привести, на работе), потом — failed, причем, по таймауту. Во вкладке Interfaces строка с описанием интерфейса становится серой, сверху появляется красная надпись managed by CAPsMAN, никаких изменений больше нет.
    Пока писал, подумал, что в настройках CAPsMAN, прописал только каналы (частоты) для точки доступа, 2462eC и 5240eeeC. «Родные» каналы маршрутизатора (2412Ce и 5180Ceee) тоже нужно прописать?

    1. Андрей Торженов Автор записи

      Здравствуйте!

      Без опыта работу с MikroTik и сразу настраивать сложный функционал… будет вам сложно!

      Для начала, отключите ВСЕ правила в firewall на всех Mikrotik’ах. Если заработает, значит разбирайтесь в правилах FW.

  24. Anatoli Zaev

    Мы легких путей не ищем. Разбирались с USRobotics Courier на советских линиях связи, разберемся и с латышскими наворотами. Сейчас просто несколько тороплюсь: в воскресенье приедет жена, а что более страшное преступление: неработающий WiFi или водопроводный кран — даже и не скажу 🙂
    Второй микротик я и не включал. То есть, когда-то включал, убедился, что вижу только его в эфире, а «коренного» вифи нет. Вчера и позавчера занимался рукоблудством с передачей вифи хапа под управление CAPsMAN.
    По поводу отключения правил FW: если я нахожу в таблице на соответствующей вкладке «дроп» правило, кликаю по нему правой кнопкой и говорю Disable, этого достаточно? Если да, то не помогает. Все дропы я отключал, вместо правила «убей не ЛАН» ставил «убей ВАН», попробовал рецепт из этой стать с 127.0.0.1 — no go.
    Сейчас вот думаю, что м.б. я зря жестко фиксировал частоты локального вифи (Frequency Mode = regulatory_domain, Frequency = 2462) и/или не прописал этот же канал в настройках CAPsMAN. Локальный wifi уходит под CAPsMAN со своими настройками, или для него надо тоже каналы создавать? Для 2 ГГц я прописал только 1 частоту (канал) и упомянул ее в конфигурации для точки доступа. Другого канала у CAPsMAN нет, вот он и не знает, что делать с передаваемым ему интерфейсом. Может такое быть?

  25. ITfront

    Настроил по инструкции. Всё заработало.
    Но как-то странно…

    1.
    На RB952, установленных на этажах в роли ТД , wlan интерфейсы после активации CAP так и отображаются выключенными, хотя доп.инфа появилась и WiFi сеть заработала.

    2.
    В списке CAPsMAN`а на главном роутере они отображаются по-разному.

    1. Андрей Торженов Автор записи
      1. Если в datapath стоит local forwarding enable, то интерфейс будет включен (как на скриншотах в этой статье), иначе будет выключен.

      2. У вас там что то много интерфейсов. Часть из них динамически настроены и активны, другие статические и выключены. Вы наверно какие-то эксперименты ставили. Удалите лишнее.

      1. ITfront

        Эксперименты были, но откатился.
        В данном случае лучше опять вывести все три точки из CAPа и перепроверить их настройки, удалить всё с главного роутера из CAPsMAN-> CAP Interface. А после этого заново подключить точки?
        Или ещё что-то ???

        1. Андрей Торженов Автор записи

          Удалить все радиоинтерфейсы в capsman, потом зайти в закладку remote cap, выбрать каждый и нажать provision.

          Все cap должны заново настроиться и появиться динамические интерфейсы (с буквой D).

          P.S.
          В закладке provision настраивается как будут присваиваться имена интерфейсам, какие типы интерфейсов (статические или динамические) и др.

          1. ITfront

            Всё заработало.
            Пока на одном 6-м канале (2,4 ГГц).
            Разбивку по частотам (3 этажа + 3 роутера = 3 разных канала)- на следующей неделе.
            Удалённый доступ к роутеру (основному) есть. Профили и все основные настройки можно сделать заранее.

          2. ITfront

            Настроил 3 канала 2,4ГГц + 3 канала 5ГГц.
            Всё работает.
            Единственное что не получилось довести до идеала — переключение в секторах «наложения» зон двух ТД. Телефон долго сидит на мизерном сигнале, не переключаясь на сильный.

          3. Андрей Торженов Автор записи

            С этим можно бороться только создав Access List с MAC адресом телефона и сбрасывать его с AP по достижению минимального уровня сигнала…

            Это единственное, что можно сделать с такого рода упёртыми устройствами… Но тут могут быть сложности. В некоторых клиентах (например некоторые версии iPhone), если их часто так сбрасывать с AP, начинают эту wifi сеть считать «проблемой» и автоматически больше к ней не подключаются.

  26. Олег Голяков

    Очень полезная статья!

    Настроил пока 3 точки, на каждой по две сети: Work и Guest. На одной из точек еще и Work-5GHz и Guest-5GHz. 2.4 разнес по каналам 1-6-11. Work с доступом в корпоративную сеть, Guest — только в Интернет + сетевые принтеры (гостевая точка во влане, доступом рулит FW). Сам CAPsMAN на CCR-1009. Клиентов пока 30-50. Все работает, клиенты переключаются. Интересно наблюдать, когда человек передвигается а его гаджет переподключается к разным точкам))). Сам пробовал передвигаться со включенным пингом один пакет в пол секунды. Ни один пакет не теряется, ну может 1 из 10 переключений. Вайбер и Ватсап не рвутся.

    В общем все замечательно!

    Но вопрос не в этом, а вот в чем:
    Что означают «магические» буквы и цифры во вкладке «CAPsMAN -> Registration Table -> Tx Rate Set» ?

    Что-то типа «CCK:1-11 OFDM:6-54 BW:1x-2x SGI:1x-2x HT:0-7» ?

    PS. В планах посадить на CAPsMAN хотспоты, особенно где по 7-10 точек, уж очень не удобно при необходимости менять настройки на каждой точке… )

    1. Андрей Торженов Автор записи

      На тему роуминга. Не всегда так хорошо бывает, как у вас 🙂 . Бывают устройства, особенно старые или какие нибудь специализированные, которые ну ни как не хотят переключаться между AP (цепляются за AP из последних сил 🙂 ) или переключаются но с сильной задержкой.

      Как я и писал в статье — качество роуминга зависит от самого клиента, а не AP. Надеюсь с каждым годом, естественным образом будет уменьшаться количество «кривых» клиентский устройств и вопрос роуминга будет практически полностью решён.

      На тему ««магические» буквы и цифры», чуть позже напишу дополнение к статье, где опишу что это значит. Если вкратце, то это очень полезная информация. По ней можно понять какой стандарт wifi используется, какие модуляции, сколько пространственных каналов используется и т.д.

  27. gard area51

    Вышла routerOS 6.44, среди нововведений:

    *) capsman - always accept connections from loopback address;
    

    Т.е. теперь никаких проблем с локальным CapsMAN быть не должно, достаточно обновиться на последнюю прошивку.

        1. Андрей Торженов Автор записи

          точка по вайфаю не раздают

          Что не раздают? Интернет?
          Возможно у вас NAT, Firewall, маршрутизация и т.д. не настроена.

          В статьях про CAPsMAN обычно эти вопросы не затрагивается, т.к. это другая тема.

          Проверьте, правильные ли IP адреса выдаются по DHCP клиентам wifi, есть ли там нужный шлюз по умолчанию, DNS сервера и т.д.

          1. Андрей Торженов Автор записи

            Вы явно в чём то ошиблись… не видя конфигурации сложно судить.
            Возможно вы что-то не верно настроили в бриджах.

            Проверьте всё внимательно!

            По данной статье уже много сетей настроено.

            То, что у вас на роутере с CAPsMAN нет wifi, на работоспособность сети не влияет.

          2. Артур Борисов

            Спасибо вам! Настраивал по другой статье, может и пропустил что то… Теперь буду настраивать по вашей. Если много сетей настроено, то это обнадеживает

          3. Артур Борисов

            А на контроллере нельзя ведь добавить порт, где приходит интернет, в бридж? (в таком случае локально не раздавал интернет, потому выкинул с бриджа) Как ни странно, RB951Ui-2hnd полюбому раздавал на всех интерфейсах.

          4. Андрей Торженов Автор записи

            Интерфейс на который приходит Интернет (WAN) нельзя добавлять в бридж для локальных интерфейсов.

    1. Артур Борисов

      Настроил по вашей статье контроллер RB2011 Ils-In и точку к нему RB951UI-2HnD. В итоге клиент то подключается, то отключается и интернет не получает, стоит на получение адреса, потом только сохраняет SSID, не подключаясь… При этом на главном роутере CAP- интерфейс пересоздается заново, cap1, cap2 и т.д.

      …..RouterOS версии 6.44.1 у обеих

      Прикрепленный файл:

        1. Артур Борисов

          Проверил DHCP и пул адресов… Вроде все норм, как обычно. Пул 192.168.x.5-192.168.x.255, привязан к тому бриджу, где будут подключаться точки доступа. NAT настроен на оут интерфейс WAN, фаервол не настраивал — чист. Все пингуется и т. д. Приложил скрин

          Прикрепленный файл:

          1. Андрей Торженов Автор записи

            Я сократил пул от 255 до 250, хрень какая то, извините, но получилось сопрягать точку с мамкой =I

            Не понял. У вас получилось?

        2. Артур Борисов

          Да. Получилось. Но рано радоваться не могу, так как остались еще три RB951Ui-2HnD. Я то думал максимальное количество адресов от 1 до 255. Тупо снизил так на авось до 250 и странно… Заработало. Т.е. сразу начал проверять адреса (внешние, внутренние, DHCP), как только узнал от Вас, что устройство не получает адрес =)

          Эхх… Еще каналы присваивать каждой точке(( Могу ли я двум устройствам задать канал 1, а двум другим канал 6? Просто они типа не пересекающиеся. Или же лучше выбирать в зависимости от того какой канал наиболее свободен / сделать разными на каждой точке и т.д. В здании у нас две организации, так вот соседняя организация битком забит дешевыми роутерами чуть ли не в каждом кабинете и занимают много каналов

          1. Андрей Торженов Автор записи

            В данном случае IP .255 не может быть, т.к. .255 это broadcast сети, если сеть с маской 255.255.255.0 (/24).

            Лучше каждой точке выделить свой не пересекающийся канал. Но на практике нужно смотреть как будет на конкретном объекте. Обычно где много компаний то весь 2.4ггц диапазон забит и wifi всё равно будет плохо работать. Вариант только на 5 ггц уходить.

  28. Protection

    Андрей, добрый день. В поисках ответа нашел вашу статью. Все очень круто расписано и понятно. За это — большое спасибо. Возможно будет подсказка и для меня.
    У меня hap ac в роли главного и 3 cap ac — по офису. Работают в capsman’e уже давно. Все работало и работало. Пакет от провайдера был 100 мбит. На 5ггц было 90 и горя не было. Но… Понадобилась скорость по-более. Выписали себе 1гбит. И вот начались проблемы. По кабелю — проблем нет, гиговые порты hap ac вытягивают всю скорость (около 400мбит, столько же и напрямую). Но вот ви-фи — нет. Понятно, что CAP AC не будет больше 100 давать, так как включены по PoE (100 мбит). Но от главного хотелось бы больше. В поисках решения: отключил все САРы, сбросил НАР в дефолт. Без capsman’a скорость на телефоне показывает около 300мбит, как только разворачиваю capsman и запускаю его только на НАРе — падает до 100мбит. Подумал, что хватит канала на 400 как раза по 100 на каждую точку. Но нет, запустив спидтест на двух разных конца (подключившись к разным САРам) покажет 50 на каждом. т.е. те 100 мбит выделяется на ВЕСЬ capsman. Игра с каналами, шириной, страной и чейнами ничего не дает.
    Заранее благодарен.

      1. Protection

        САР АС включены восьмижилом через РоЕ инжектор родной, который строит возел НАР ас. В таком случае 2 пары отводятся под питание, 2 под ethernet. А гигу нужны все 8 жил. Разве не так?
        Так до включения capsman’a скорость по вифи есть более 100. Настройки бриджа не меняются при этом. Или речь идет о включении в dataphats? Включение этого режима никак не влияет.
        Кстати. у меня в бридже есть оба wlan интерфейса при включенном capsman’e. Но разве это как-то может влиять на скорость?
        Замечу, что в таблице регистрации устройств отображается скорость их подключения и там приличные цифры — 300-600мбит.

        1. Андрей Торженов Автор записи

          PoE Инжекторы есть на 1G: https://mikrotik.com/product/RBGPOE

          «300-600мбит» — это канальный скорости, а не скорость на которой будет передаваться полезная нагрузка.

          Обновите прошивки да актуальной, в свежих прошивках были какие-то улучшения для wifi 802.11ac.

          Я так понял, что даже когда у вас на HAP AC настроен CAPsMAN и локальный wifi интерфейс на нём зарегистрирован, то скорость тоже ограничивается 100 мбит?

          1. Protection

            Обновлено до 6.44.2 (0 эффекта)
            Я разворачивал capsman ТОЛЬКО на НАР ас и лучшим результатом было — 100.8 мбит, выключал сaps — сразу 300.

          2. Protection

            Андрей, забыл сказать. Включение Local Forwarding помогло. Скорость по вифи достигает 200-300 мбит. Не идеал, но все же лучше. Надеюсь, допилят в будущем.
            Уж не знаю, как это помогло (хоть убейте, но не поверю, что интерфейсу капсмана мало ресурсов для прогонки более 100 мбит, грешу на ПО), но дало результат.
            Благодарю.

          3. Андрей Торженов Автор записи

            Если выключена функция Local Forwarding тогда весь трафик пользователя туннелируется на CAPsMAN (типа VPN поднимается).

            Это требует большое количество ресурсов (инкапсуляция пакетов, шифрования и т.д.). По этому, при отключении Local Forwarding может снижатся скорость и увеличивается загрузка на CPU если процессор слабый.

          4. gard area51

            Также замечал такую «проблему» на простых hap lite. К примеру — всего два устройства. Стоит только отключить «local forwarding», то при запуске мультикаста в wi-fi или даже при тестировании speedtest, нагрузка на роутер, где трудится capsman мгновенно прыгает до 100% cpu. Включение же local forwarding мгновенно «устраняет» проблему. Вот такие пироги.

          5. Protection

            Та я понимаю, что все идет через капс и на нем же захлебывается. Но НАР ас нормальная железка с хорошей начинкой, должно хватать на обработку. Я больше грешу на недоработку RouterOS.

          6. Андрей Торженов Автор записи

            На тему загрузки проца и Local Forwarding: off я ещё давно писал https://2keep.net/mikrotik-capsman-local-forwarding

            HAP AC железка может и мощная… но для организации туннеля на скорость > 100 мбит может не хватать (при выключенном local forwarding как раз туннель и организуется). Но может и глюк, но очень старый.

            Сколько я не смотрел MUM’ов с докладами на тему CAPsMAN, многие для CAPsMAN используют мощные железки типа https://mikrotik.com/product/CCR1016-12G

  29. Александр Князев

    Добрый день.
    Есть пару вопросов.
    Корректно ли обьединять eth0 с остальными в один бридж, имеется ввиду та железка которая смотрит eth0 наружу.

    Можно указать обнаружение capsman на уровне L2 или L3, какой предпочтительней?

    Мы добавляем все интерфейсы в созданный bridge1, может лучше добавить wlan1 wlan2 в bridge1, а модули cap в bridge?

    1. Андрей Торженов Автор записи

      Корректно ли обьединять eth0 с остальными в один бридж, имеется ввиду та железка которая смотрит eth0 наружу.

      eth0 это что за интерфейс? WAN, который смотрит в Интернет? В стандартной схеме нет, его нельзя объединять с локальными интерфейсами.

      Можно указать обнаружение capsman на уровне L2 или L3, какой предпочтительней?

      Всё зависит от топологии вашей сети. Если у вас CAP’ы и CAPsMAN в разных сетях, то L3, в одной — L2. Если сеть большая, то может есть смысл разнести по разным подсетям (L3) для минимизации broadcast трафика (уменьшить broadcast домены)… В общем это вопрос дизайна сети.

      Мы добавляем все интерфейсы в созданный bridge1, может лучше добавить wlan1 wlan2 в bridge1, а модули cap в bridge?

      Не понял вопроса.

  30. John Doe

    привет. как оказалось работающий переход между точками это хорошо. но как оказалось все это не работает если вдруг, внезапно, одна из точек ушла на перезагрузку. потерялось порядка 15 пингов и коннекшн оборвался…

  31. Иван Лемеза

    Добрый день.
    Удачно попалась Ваша статья о CAPsMAN, по прочтению и тестам возник вопрос.
    Тестовая топология:

    RB4011 в роли контроллера и два hAP ac lite в роли точек доступа.
    Хочу использовать local forward для снижения загрузки контроллера и разделения трафика гостей и сотрудников.
    На контроллере поднят один мост br-lan, на котором поднят сервер dhcp (для клиентов по меди)
    В этот мост подключены ТД с статическими ip. На самих ТД создан мост br-lan (все порты, за исключением wlan интерфесов), мосты br-wifi-guest и br-wifi-work (для соответствующих клиентов, эти же мосты созданы на контроллере и прописаны в datapath).
    Пытаюсь настроить гостевую сеть, указывая datapath br-wifi-guest, но клиент каким-то образом получает dhcp и имеет доступ к внутренней сети (стало быть из-за настройки CAP клиента Bridge (6) br-lan )

    Вопрос : для чего необходим datapach, если при указании различных мостов, фактического разделения не происходит.

    UPDATE: перечитал про опции CAP клиента

    Указываем Bridge (6) в который будет добавляться Wireless интерфейс если включен Local Forwarding в Datapath.

    Возник еще больший вопрос — для чего мы указываем bridge в datapath, если в итоге все настройки bridge в режиме local forwarding предопределяются настройками CAP клиента?

    1. Андрей Торженов Автор записи

      Если включен local forwarding, то CAPsMAN не управляет настройкой datapath bridge в настройках CAP.

      Если хотите разделить трафик на гостевой и рабочий, то вам нужно:

      1. отключить local forwaring
      2. на CAPsMAN создать два бриджа br-wifi-guest и br-wifi-work
      3. для каждого бриджа прописать свои сети и dhcp сервер, настроить потом правила FW (что бы между сетями не могли ходить)
      4. создать две wifi сети (рабочая и гостевая) и присвоить им своим бриджы в datapath.

      При этой схеме весь трафик от клиентов CAP будет туннелироваться на CAPsMAN, там фильтроваться, раздаваться dhcp и т.д.

      P.S. Могут быть и другие варианты разделения трафика, vlan например, фильтрация на CAP’ах, но с Local Forwarding, как по мне, так самое простое, хотя и требующая аппаратных ресурсов на CAPsMAN.

      1. Иван Лемеза

        Не очень очевидно такое поведение при включенной опции local forwarding, спасибо за ответ.

        Насколько понимаю еще возможно включить local forward по следующей схеме:

        1) Создать мосты br-wifi-guest и br-wifi-work на самих AP, на практике сеть br-wifi-work может быть объединена с br-lan, т.к. AP подключена напрямую в рабочую сеть
        2) Вручную соотнести wlan интерфейсы в нужные мосты, поднять dhcp на br-wifi-guest, настроить forwarding из br-wifi-guest до шлюза с запретом пакетов в br-lan.

        Очевидно что в таком случае пользы от CAPsMAN становится не так много, но все же имеем центральное управление основными параметрами.
        P.S. схема описана для понимания routeros, т.к. читая материалы вижу, что одни и те же вещи возможно реализовать совершенно разными путями.

        Во всех статьях, связанных с CAPsMAN, пишут о потреблении аппаратных ресурсов без local forward, поэтому и возникают идеи его активации.

        1. Андрей Торженов Автор записи

          «…поднять dhcp на br-wifi-guest…»

          Поднять dhcp где? На каждом CAP? Тогда вам придётся поднимать отдельный dhcp сервер на каждом CAP.

          Тут главное понимать, что bridge, это как отдельный физический коммутатор (я конечно упрощаю).

          Например если вы в bridge1 объединили eth1 и eth2, а в bridge2 объединили eth3 и eth4, то получается, что eth1, eth1 и eth3, eth4 как бы физически в разных коммутаторах.

          Да, в ROS можно многое сделать разными путями в этом гибкость и сложность для начинающих.

          Да, CAPsMAN c Local Forwarding: off требует дополнительных аппаратных ресурсов (т.к. происходит инкапсуляция пользовательского трафика от CAP в туннели и в дальнейшем его обработка), но и сам MT не особо то и дорогой, можно себе позволить купить для CAPsMAN отдельную железку.

          Например hEX RB750Gr3 (https://mikrotik.com/product/RB750Gr3 ) за 60$ вполне мощная железка, но конечно нужно смотреть какой трафик, сколько пользователей, сколько CAP и т.д.

          Да и уже имеющийся у вас RB4011 мягко говоря неслабый.

  32. gard area51

    Здравствуйте!
    Кто-то сталкивался с подобным статусом интерфейса точки на контроллере?
    Точка при этом работает, клиенты подключены. Я так понимаю это сообщение о несоответствии регуляторного домена на контроллере и точке, на контроллере установлено «russia», на точке такой пункт также доступен.

        1. gard area51

          Помог совет с forummikrotik.ru
          Нужно отключить точку от контроллера, нажать «reset configuration» в настройках беспроводного интерфейса, и снова ввести точку под управление контроллера.
          Надпись пропала.

          1. Андрей Торженов Автор записи

            Да, частый совет, что если что-то в Wi-Fi работает не так, как ожидается, то стоит сделать Reset…

            Спасибо за информацию, буду иметь ввиду.

  33. Anton To

    Отличная и актуальная статья. Пожалуй лучшая на тему CAPsMAN. И вот мысли:
    Если CAPsMAN и точка CAP находятся в разных подсетях (каждая со своим DHCP), то:
    — при включенной local forwarding при переключении с одной AP на соседнюю будет приличная задержка из-за обновления DHCP и порвутся коннекты из-за смены IP адреса клиента и, как следствии, потери state’ов на NAT.
    — при выключенной local forwarding при переключении с одной AP на соседнюю все коннекты сохранятся, т.к. клиент по сути всегда будет в подсети CAPsMAN. Но нагрузка на CAPsMAN будет нормальная.
    Вопрос, сколько клиентов с каким трафиком потянет CAPsMAN на RB951G? Например 2-3 человека видео на телефоне смогут смотреть?

  34. Юрий Пузанков

    Я вот внимательно ознакомился с данной статьей, так как было желание сделать то же самое. И вдруг у меня возник вопрос, возможно глупый, так что камнями не кидайте. Если этот замечательный CAPSMEN не поддерживает протоколов роуминга, то зачем он тогда вообще нужен? Нет я конечно понимаю, что гораздо проще настроить один раз и распространить настройки на овер сотню точек доступа. Но каков смысл с этим заморачиваться имея всего несколько точек?

    1. Андрей Торженов Автор записи

      CAPsMAN это централизованная настройка и мониторинг точек и клиентов. Это уже актуально (особенно мониторинг) даже при >1 CAP.

      Все логи подключений, ошибок, параметров соединения, состояние подключенных клиентов, аутентификация, всё это находится в одном месте, на CAPsMAN, а не разбросано по десяткам или даже сотням точек). Пользоваться или нет этим функционалом, решать вам. Я пользуюсь даже при двух CAP.

      Как я уже писал выше в статье и как уже много кто писал/говорил, понятие роуминга в wifi сетях очень относительное… Все решения о переключении с AP на AP, принимает не AP, а клиент и протоколы на подобии 802.11r, v и т.д., они могут только рекомендовать что-то сделать клиенту, но не заставляют (в отличии от сотовой связи). И без этих протоколов обычно роуминг нормально работает если клиентское устройство не кривое (а если кривое то и эти протоколы не помогут).

      Этот вопрос дискуссионный и часто холиварный, так что оставим его… 🙂

  35. Евгений Мосолов

    Добрый день.
    Спасибо за подробную статью, приятно, что вы её обновляете.
    Вопрос такой — можно ли подключить точки доступа через стороннее оборудование (например, радиомост ubiquiti или роутер Dlink)? Так же, можно ли соединять микротики последовательно?

  36. Иван

    На вашей схеме «CAPsMAN: Local Forwarding» в устройство с CAPsMAN приходят провода от маршрутизатора и коммутатора, а затем еще и они объединяются проводом. Нет ли тут ошибки подключения?
    При переезде CAPsMAN на отдельное устройство, бриджы wifi пользователей и их dhcp сервера тоже должны быть перевезены с маршрутизатора?

    1. Андрей Торженов Автор записи

      Все эти соединения (провода) это условно, просто что бы показать, как трафик от wifi клиентов проходит при разных настройках local forwarding. Создавайте физическую топологию сети как вам необходимо.

      DHCP сервер разворачивайте где вам удобно.

      Про бриджи вопрос не понял. Если у вас «local fw: on» то будут использовать бриджи что на самих CAP, если «local fw: off», то используются бриджи на capsman.

      1. Иван

        На маршрутизаторе:
        10.10.10.1/24 bridge1 LAN
        10.10.20.1/24 bridge2 WIFI_OFFICE
        10.10.30.1/24 bridge3 WIFI_GUEST
        DHCP WIFI_OFFICE
        DHCP WIFI_GUEST

        На CAPsMAN:
        10.10.10.2/24 bridge1 LAN

        Для WIFI_OFFICE и WIFI_GUEST в datapaths указывать bridge1?

  37. Юрий Пузанков

    Наконец то решил настроить CapsMan. Помогите пожалуйста, никак не пойму что за проблема. Есть hAP ac и cAP ac. hAP в роли CapsMan. Все настроил по инструкции, только с частотами колдовал, в итоге wlan интерфейсы ругались что частоты неверные и не подключались к касмену. Этот вопрос я решил. А сейчас другая проблема, cAP сразу без проблем подключился к капсмену и начал работать получив настройки. А вот hAP к своему же капсмену подключаться напрочь не хочет. Говорит про какой то сертификат. Что за сертификат и откуда он взялся непонятно. Помогите плз. Скрин прилагаю.

    Прикрепленный файл:

      1. Юрий Пузанков

        Я самостоятельно решил проблему методом научного тыка. В caps-man manager в полях сертификаты, по вашему описанию поля пустые. Я поставил авто. Все равно при подключении капов к капсмену указано подключаться без сертификата. Все заработало, обе точки подключились к капсмену и получили все нужные настройки. Вот только возникла другая не менее серьезная проблема. Напишу отдельным постом.

  38. Юрий Пузанков

    Возник очень серьезный вопрос связанный с капсменом. У меня очень долго использовался в работе только один hAP ac. Как известно у этого аппарата мощность передатчика аж 1 Вт. И это чудо техники после тонкой настройки, даже без внешних антенн, покрывало площадь с устойчивой связью радиусом метров 50, сквозь кучу помещений различного предназначения, через кирпичи, гипс, метало профиль, и сендвич панели. Стоял в серверной у окна на втором этаже, и на улице, на пром территории покрывал площадь метров 150. Лишь в одном удаленном месте не ловило ни 2,4 ни 5 Ghz. Думал поставлю там cAP ac и проблема решена. И вот теперь проблема, обе точки работают на какой то заниженной мощности, hAP ac покрывает всего несколько кабинетов, народ начал жаловаться на отсутствии WI-FI там где оно всегда было, а cAP ac теперь хоть и кроет там где ничего не было, но теперь между cAP ac и hAP ac появилась пропасть. То есть раньше hAP ac дотягивал до места теперешней установки cAP ac, то теперь нет. При этом в настройках сапсмена в разделе ченал стоит тх повер равный 0, а в конфигурации в разделе страна, стоит ноу кантри сет. Так же как было раньше. По уровню сигнала, по показаниям WI-FI анализатора на андроиде, какие то соседские делинки дир 300 показывают мощность сигнала в 2 раза больше моих сапсов. А раньше было прямо наоборот. То есть сейчас сигнал моего hAP ac в 4 раза хуже чем было до капсмена. Пробовал ставить в настройках россию и уровень 20, как у вас. Становилось еще хуже. При такая ситуация в обоих диапазонах.

    1. Андрей Торженов Автор записи

      Нельзя использовать больше 20 db (100mw) мощность, часто её приходится даже снижать при большом количестве AP и клиентов.

      WiFi это двунаправленная связь. Не только клиент должен хорошо слышать AP, но и AP должна хорошо принимать клиента.

      От того, что AP поддерживает 1w, ваши клиентские устройства мощнее не станут! У них будет <100mw. Получается что они, AP (на которой 1вт) могу принимать с очень хорошим сигналом, а вот AP клиентов слышать не будет. Мыло того, некоторые клиентские устройства видя, что от AP очень мощный сигнал, предполагают, что AP где-то рядом и клиент СНИЖАЕТ свою мощность.

      Если краткая выжимка из того, что я написал выше, то — ставьте больше точек доступа на разные не пересекающиеся каналы, объединяйте из по ethernet. Точки не дорогие. Лучше и качественней поставить 3 точки чем одну мощную.

      P.S. 1Вт на AP он не для организации AP для клиентов рассчитан, а для линков PtP или PtMP.

      1. Юрий Пузанков

        Все что вы сейчас написали, я сто раз читал в разных источниках, и сам прекрасно это понимаю, так как по образованию имею отношение к радиотехнике (СГТУ (ФэТИП)). Но извините, мне кажется совершенно не нормальным, когда покрытие и эффективность работы одной точки, было гораздо выше, чем когда они стали работать в паре. Два простых примера. Имеется две точки, одна hAP ca офисная, и DIR-300 — гостевая, с авторизацией, отдельный канал от провайдера, с офисной сетью никак не взаимодействует. hAP ca покрывал все здание и близ лежащие территории практически полностью. Ни у кого претензий к качеству связи никогда не возникало. Лишь отдаленный угол оставался недосягаем. DIR-300 покрывал гостевую зону шоурума, чего было достаточно. Теперь же, DIR-300 покрывает бОльшую часть офиса, нежели два микротика вместе! И все устройства, не только гаджеты, но и многие рабочие инструменты, цепляются к free-wi-fi как к максимальному по уровню сигнала источнику и не могут попасть в инет по причине требования авторизации, либо просто не подключаются, потому что не видят сеть. К роме этого, в сети видно кучу соседских точек, и мощности их сигналов выше, чем сейчас у моих микротиков, хотя соседские точки гораздо удаленнее. Считаю такого быть просто не должно! Это дичь, по вашему совету, расставлять микротики через каждые 5-10 метров. Я приложу картинку как было и как стало. Слава богу я сохранил конфигурацию hAP ca перед настройкой капсмена, возможно я буду возвращать все обратно, если не найдется какого то дельного совета как решить эту проблему, и в принципе почему так стало.

        Прикрепленный файл:

        1. Андрей Торженов Автор записи

          Пробуйте увеличить мощность передатчика (>20 dbm) и смотрите на результат.
          Но может может не помочь, т.к. при выборе региона Россия (или другой) могут быть ограничения по мощности (в каждой стране свои ограничения по мощности, в России 100mw / 20dbm).

          В конфигурации без CAPsMAN, насколько я помню, можно убрать проверку на выбранный регион и соответственно ограничение по мощности.

          Так же свои вопросы можете задать тут https://forum.nag.ru/index.php?/forum/56-mikrotik-wireless/

          1. Юрий Пузанков

            так я же в предыдущем сообщении написал, что в капсмене установлен уровень мощности = 0 , а в выборе страны стоит — ноу кантри. И при этом еле еле вещает. Если ставить 20 и россию, то становится еще хуже. Нормальный сигнал на уровне примерно 5 метров, дальше — хуже. Тут дело явно в капсмене. Поэтому я устал выслушивать претензии от сотрудников и вернул сейчас все как было, а cAP ac настроил точно так же как hAP ac, с тем же SSID. В результате покрытие вернулось как было, и теперь два микротика своими радиусами перекрывают друг друга. То есть мощность у обоих хорошая. А по результатам wi-fi analyzer на моем рабочем месте, стали видны обе точки (при капсмене друг друга не доставали) в обоих диапазонах. А мощности возросли с примерно -85 Дб до -35 Дб в 2.4 диапазоне и с -93 Дб до -45 Дб в 5 Ghz диапазоне. Ютуб при проходе между двумя точками и переключении между ними не прерывается, SIP соединение во время разговора так же не прерывается. Сейчас две точки покрывают расстояние почти триста метров со стабильным пингом. Что то я сейчас начинаю не понимать какой смысл в этом капсмене, если он так себя ведет. Или все таки это какой то глюк, ну потому что так резать мощность, ни в какие ворота не лезет. hAP ac — 6 встроенных антенн, мощный передатчик и усилители приема на каждую антенну, а вел себя как wi-fi пердушка, многократно хуже древного DIR-300 с одной антенкой на 2db. Как это можно объяснить?

          2. Андрей Торженов Автор записи

            Юрий, мне сложно сказать с чем связаны ваши проблемы. CAPsMAN как мной так и другими достаточно активно используется, проблем не наблюдаю.

            Возможно что-то вы упускаете в настройке. Почитайте документацию, форумы. Можно найдёте свои недочеты.

            В CAPsMAN и без него по разному настраиваются параметры для wifi.

            В режиме без CAPsMAN, для параметра country есть значение «superchannel» который снимает все ограничения как на частоты так и на мощность. Использовать его в реальной сети нельзя, нарушение закона.

            В CAPsMAN этого параметра нет, дабы не было соблазна ставить 1вт на wifi ap и выбирать нестандартные частоты. Это может сильно мешать окружающим и могут приехать соответствующие органы (прецедентов достаточно).

            Больше мне вам сказать нечего. Ещё можете тут задать свой вопрос https://forum.nag.ru/index.php?/forum/56-mikrotik-wireless/ или тут https://forum.mikrotik.com/viewforum.php?f=7

  39. Jack Ya

    Юрию, Ох уж это профильное образование не даёт голове спокойно мыслить, столько глупых вопросов и ни одного конфига=)) Ставил и hap ac, а лучше нар ас2 и сар ас и всё вместе, с аксеслистом прекрасно работают, только вот мощности в основном в пределах 20-24дбм, но никак не 1 вт… А так вам всё правильно ответили.

  40. Dmitrii Zolotenko

    Подскажите пожалуйста, а как можно ограничить скорость на точках доступа подключенных через CAPsMAN? Задача ограничить скорость для каждого клиента до 5-10М.

    И как правильно настраивать мощность точек доступа, чтобы не создавали проблем друг другу?
    Сейчас стоит 9 CAP ac, каналы(частоты) получают автоматически.

    1. Андрей Торженов Автор записи

      Задача ограничить скорость для каждого клиента до 5-10М.

      Если отключен local forwarding на CAPsMAN можно настроить для нужной IP сети QoS с ограничением по скорости. Если local forwarding включен, то QoS настраивается на пограничном маршрутизаторе.

      И как правильно настраивать мощность точек доступа, чтобы не создавали
      проблем друг другу?

      Точки, в идеале, должны находится на разных каналах, тогда их взаимное влияние должно быть минимальным. По этому лучше точки вручную распределять по каналам, т.к. автоматический режим не всегда работает корректно.

      Мощность не нужно выкручивать на полную катушку, лучше <20d (15-18, смотреть по обстановке), мощнее не значит лучше.

  41. Aleksey Kirilenko

    Добрый день. Возможно ли выполнить настройки, чтобы не было 2х отдельных WiFi-сетей. Чтобы при сканировании указывалась одна сеть с двумя диапазонами 2.4/5?

  42. ramis

    Здравствуйте!
    Могу ошибаться, но правильнее будет «если вЫключен», нет?
    «Указываем Bridge (6) в который будет добавляться Wireless интерфейс если включен Local Forwarding в Datapath.»
    Спасибо за структурированный материал и обновления!

        1. Андрей Торженов Автор записи

          Всё верно! При включённом LOCAL Forwarding он добавиться в бридж CAP’а, а не CAPsMAN. Т.е. трафик от CAP’ов будет проходить не централизованно через CAPsMAN , а ЛОКАЛЬНО через бридж CAP’а.

          Ещё раз прочитайте про сущность Local Forwarding, посмотрите схемы https://2keep.net/mikrotik-capsman-v2-hap-ac-lite/#_Datapaths

          1. ramis

            Со всеми вашими утверждениями я согласен и они правильные, вопросов нет. Ниже я скинул скрин где опечатка, как мне кажется. Если я прав то можно этот диалог удалить, а текст исправить.
            Еще раз спасибо за толковый материал.

  43. Владимир Данилов

    Статья хорошая) Картинок много, текст полезный
    Сама сеть прекрасно работает, но затык с Airprint
    Проводная сеть в bridge1, беспроводная в bridge2 — соответственно адресация у них разная (третий октет сдвинут) т.к. это удобнее в плане свои/чужие. Между ними свой src nat, но поскольку бриджи разные то и широковещательный домен разный. Что можно сделать в этом случае? IOS просто не видят принтеры

  44. DeZ641

    Добрый день, Андрей, отличная статвья!!!
    При просмотре частот в моей стране доступны частоты только с passive scanning wifi:
    5170-5250/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/passive,indoor
    а если выбрать (например united states3) то частоты работают в active scanning wifi:
    5170-5250/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(30dBm)/indoor
    Вопрос, что лучше выбрать, какой режим работы: active или passive???

    1. Андрей Торженов Автор записи

      active / passive имеет отношение к DFS (функция совместной работы wifi с погодными радарами, лучше почитать про неё в инете).

      Лучше использовать active, главное, что бы рядом не было аэропортов где используются погодные радары.

      Ну и тут вопрос законодательства…

      1. DeZ641

        Добрый день. У меня еще такая ситуация:
        имеем:
        1 — MikroTik RB4011iGS+5HacQ2HnD (настройки quick set)
        2 — ноутбук(wifi) подключен на канальной скорости 866.6 Mbps
        3 — ноутбук(lan) подключен на скорости 1 Гбит/с

        Все манипуляции делаю на ноутбук(wifi):
        — когда копирую файл с ноутбук(wifi) на ноутбук(lan) (на фото 2 левых рисунка) то скорость максимальная и держится на протяжении всего процесса копирования.
        — когда копирую файл с ноутбук(lan) на ноутбук(wifi) (на фото 2 правых рисунка) то скорость через секунд 10-15 начинает падать.
        то есть на ВЫГРУЗКУ все работает как надо, а вот на ЗАГРУЗКУ проблемы со скоростью
        П.С. Извините за фото, хотел отдельно 4 рисунка загрузить, но не знаю как здесь это сделать…

        Прикрепленный файл:

        1. Андрей Торженов Автор записи

          В Wi-Fi слишком много разных НО. Его работа зависит от многих факторов (зашумлённость эфира, другие клиенты на точке, микроволновки и даже кривые драйвера клиентов и многое другое).

          Вижу, что на правом рисунке очень низкий tx/rx ccq 23%. Это качество соединения клиента с точкой (если по простому). Цифра должна стремится к 100%.

          Почему у вас всего 23% не знаю.

          Тут много факторов может быть:

          1. Помехи на данном частотном канале
          2. Кривые драйвера вифи карты клиента
          3. Какая-то несовместимость Микротика с вифи адаптером клиента (у кого-то кривые драйвера)

          Что можно сделать:

          1. Обновить прошивку и firmware на Микротик до актуальной
          2. Попробовать установить другие частотные каналы.
          2. Попробовать другое клиентское устройство, что бы понять, проблема общая или только с данным клиентом.
          3. Сбросить настройки WiFi на Микротик (есть там такая кнопка) и настроить с нуля.

          1. DeZ641

            Спасибо за ответ. Все что Вы предлагаете, я уже пробовал:
            1. Прошивка и firmware 6.45.9 (long-term).
            2. Пробовал.
            3. Есть телефон, на нем так же. (добавлю, что на этих клиентских устройствах, но только с keenetic giga kn-1010 все нормально)
            4. Делал сброс WiFi, и также делал несколько раз сброс самого Микротик.

            П.С. Только что принесли НарАс2, еще проверю на нем…

          2. Андрей Торженов Автор записи

            Железка относительно новая, я бы попробовал stable и testing ветки прошивки.

            Смущает низкий ccq.

            Настройте также hapac2 и посмотрите, что там будет с ним.

    1. DeZ641

      Нашел причину:
      на hapac2 была прошивка 6.44.5 (Long-term) — проблем НЕТУ
      6.45.9 (Long-term) — есть проблема со скоростью ….((((
      6.47 — (Stable) — есть проблема со скоростью ….((((
      вернулся на
      6.44.6 (Long-term) — есть проблема со скоростью ….((((
      6.44.5 (Long-term) — проблем НЕТУ (ccq ниже 70-75% не опускается)
      откатился на RB4011 тоже на 6.44.5 (Long-term) — — проблем НЕТУ (ccq ниже 70-75% не опускается)
      Вот как теперь Микротику доказать что есть проблема….

  45. Евгений Видяков

    Как устранить проблему removing stale connection? Из бриджа на точке убран wlan интерфейс, для эксперимента вообще отключил local forwarding и подключился к capsman по L3. Проблема возникает с разными точками в разное время. Все правила фаервола на менеджере сначала отключил, потом добавил разрешающих — проблема остается.

    Прикрепленный файл:

          1. Евгений Видяков

            Вы оказались правы. Проблема была в сети — одна из IP камер (не WiFi) забивала своим трафиком. Похоже пришла пора выделить сеть камер в отдельный физический сегмент…

          2. Андрей Торженов Автор записи

            Какой же трафик гонит камера что забивает 100 мбит или даже 1гбит?

            Камера, даже 5MP ну максимум наверно 10мбит поток даст.

          3. Евгений Видяков

            Да, надо более детально посмотреть почему это решение помогло. В том сегменте около 10 камер, на всех камерах довольно низкий fps (5-6). Сначала для тестирования я отключил все, а потом опытным путем нашел одну, установленную относительно недавно. Снизил на ней разрешение и потери пакетов до AP прекратились. До этого потери были порядка 2% в сутки.

  46. Иван Кириленко

    Здравствуйте! Спасибо за статью. Но возник вопрос.

    Кратко вводные: была сеть 2.4ghz с настроенным capsman и «автоматическим» провиженгом по 00:00:00:00:00:00 . Сети SSID всего два: внутренний и гостевой. Для гостевой был поднят отдельный бридж со своим dhcp сервером и пулом отдельной подсети. Гостевая была добавлена как slave configuration.
    SSID работали. Из гостевой сети устройства-клиенты не могли попасть во внутреннюю сеть, что мне и было надо.

    Но меня не устраивала стабильность (и скорость) Wi-Fi сети из-за пересечения точек доступа на одном канале.

    Я по вашей статье сделал разграничение на 1, 6 и 11 каналы. (Раздел статьи Динамическое распределение персональных частотных каналов (конфигураций)).

    К сожалению, после этих манипуляций гостевые SSID пропали из эфира и в вашей статье не написано на этот счет ничего. Я нашел другую статью, сделал манипуляции и гостевая SSID появилась.

    Но! Проблема в том, что теперь клиенты из гостевой SSID получают IP из пула внутренней сети и соответственно имеют доступ к ресурсам внутренней локальной сети предприятия, что недопустимо. При этом, очевидные казалось бы настройки выставлены нужным образом (стоит нужный гостевой датапатч и гостевой бридж (см. скриншот).

    Отсюда задача: Как сделать так, чтобы разнести сети CAPSMAN по разным каналам, но при этом сохранить гостевой SSID с изоляцией его подключенных устройств-клиентов от устройств-клиентов внутреннего SSID предприятия?

    Прикрепленный файл:

        1. Андрей Торженов Автор записи

          1. AP где гостевая сеть, она находится на CAPsMAN или на отдельной AP?

          2. Если на отдельной, то где находится DCHP сервер? На CAPsMAN?

          3. Если на CAPsMAN, то попробуйте выключить local-forwarding в /caps-man datapath на точке где гостевая сеть, что бы все DHCP запросы уходили на CAPsMAN с DHCP сервером который привязан к bridge «bridge-guest»

          1. Иван Кириленко

            Андрей, спасибо!

            Все AP и SSID (внутренние и гостевые), DHCP сервера находятся на одном головном роутере, он же и выполняет роль CAPSMAN.

            Похоже, что помог ваш совет с выключением local-forwarding в /caps-man datapath для гостевой сети. Проверял на домашней модели, сегодня попробую на реальном объекте.
            — — —

            Возник дополнительный вопрос, но уже касающийся производительности роутера, он же и capsman. В настоящее время используется бюджетный RB941-2ND, 650 МНц, 32 МБ ОЗУ.
            На объекте всего шесть точек доступа микротик. На каждой из них есть локальный SSID и гостевой.
            При тестах с нагрузкой я уже замечал, что с выключенным local-forwarding роутер иногда уходил в перезагрузку.
            Как думаете, достаточно ли будет заменить вышеуказанный роутер, например, на rb750gr3, 880 МГц 2 ядра, 256 МБ ОЗУ ?

          2. Андрей Торженов Автор записи

            При выключенном Local Forwarding резко возрастает нагрузка, как на CAPsMAN так и на точки, т.к. им приходится формировать туннели от AP к CAPsMAN. Если железки слабые, то будет грузится процессор и снижаться скорость.

            32 Мб памяти очень мало для точек, тем более для CAPsMAN.
            rb750gr3 думаю хватит, но всё зависит от трафика и количества пользователей.

  47. Alexandr Onisimchuk

    Спасибо! Статья определила вектора изучения темы вайфай на МТ, автору большое спасибо! Самое главное — удаление вайфай интерфейсов из бриджа на капах, я уже голову сломал, отчего петля детектится. Еще раз СПАСИБО!

  48. Andrey Kripinevich

    Андрей, спасибо за содержательную статью, она избавила меня от многих проблем, кроме пока одной. Есть RouterBOARD 2011UiAS-RM, на нем установлен пакет wireless и поднят capsnan (manager) + к нему медью подключены три точки CAP ac, расположенные в трех соседних комнатах. Две управляются capsman, третью пока не подключал. На всем оборудовании прошивка 6.47.2 (stable).
    Все подключено как в Вашей статье, кроме гостевой WiFi. ее нет пока. На точках подняты Wlan1 и Wlan2 на первом канале 5180 и шестом 2437, ранее был 2412. Ноутбук Dell и телефон Nokia Lumia подключаются без проблем, Xiaomi Readmi 3 никак не хочет работать, получает IP и отваливается.
    В логах disconnected received death sending station leaving 3, Huawei Honor аналогично отваливается, хотя Apple Iphon подключился без проблем. Может подскажете в каких настройках копаться?

  49. Andrey Kripinevich

    Проблема решена. Решилась дополнительной настройкой DHCP сервера. В дополнительных параметрах DHCP указал внешний DNS сервер и NTP сервер.
    теперь работает как нужно. Спасибо, может кому поможет.

    1. Андрей Торженов Автор записи

      Думаю, что NTP тут не причём, а вот DNS может.

      Если ранее выдавался IP неработающего DNS сервера, то телефон, при подключении пытался проверить доступность Интернета, из-за неработающего DNS сделать этого не мог, считал что Интернет на данном wifi не работает и отключался.

      Но это только предположение.

      1. Эдуард Шевцов

        А спасибо, дошло.

        Два вопроса еще:
        1) у микротика видно несколько стандартов для России russia, russia2 и т.д. Какой сейчас будет правильным выставлять для точек 2.4/5G? При настройке каналов по инструкции ставил Tx Power = 20, но в списке интерфейсов судя по вставленным комментариям CapsMan, видно что каналы работают на 17dBm. Я так понял, стандарт russia ограничивает мощность?
        2) В чем минус, если два CAP’a в разных комнатах будут работать на одной частоте в диапазоне 2.4G ? Будут ли они оказывать негативный эффект друг на друга? У меня сильно зашумленный эфир многоквартирного дома, вариантов выбора частот немного.

        1. Андрей Торженов Автор записи

          1. Параметры различных регионов можно посмотреть в терминале командой:

          /interface wireless info country-info russia2

          Пример:

          [admin@Home] > /interface wireless info country-info russia2 
            ranges: 5815-6425/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/outdoor
                    2402-2482/b,g,gn20,gn40(20dBm)
                    2417-2457/g-turbo(20dBm)
                    5170-5250/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/passive,indoor
                    5250-5330/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/dfs,passive
                    5650-5710/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/dfs,passive
                    5755-5815/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/outdoor
                    5190-5310/a-turbo(20dBm)/dfs
                    5180-5300/a-turbo(20dBm)/dfs
                    5520-5680/a-turbo(27dBm)/dfs,passive
                    5510-5670/a-turbo(27dBm)/dfs,passive
                    902-927/b,g,g-turbo,gn20,gn40(30dBm)
          

          17dbm наверно потому, что у антенны КУ 3db, максимально допустимое усиление 20db (3 db антенна+17db передатчик=20 db EIRP). Попробуйте выбрать другой регион, может будет по другому.

          2. Две точки могут друг-другу мешать. В многоквартирных домах я бы не рассчитывал на нормальную работу 2.4. Как-то работает и уже хорошо… Выход только один — полностью переходить на 5 ггц.

          1. Эдуард Шевцов

            Вся история из-за 5G и началась, сейчас два устройства:

            1) HAP AC^2 (CAPsMAN-CAP1), он же роутер принимающий интернет, купил ради 5G
            2) 951G-2HnD (CAP2) — старый, 2G only

            На 2) выставил 1ый канал, Ce, добился с него 60-70 Мбит по спидтесту. Вроде ОК.
            На 1) 2.4G: 13 канал, eC пока не тестировал; 5G: выставил 153 канал (до этого пробовал 48), Ceee — я в этом диапазоне вообще один, но у меня почему то очень слабый уровень сигнала -77db. Из-за этого видимо клиенты выбирают CAP’ы на 2.4G. Что нужно проверить, чтобы повысить уровень сигнала 5G ? Мне кажется перебор частот ничего не дает.

          2. Андрей Торженов Автор записи

            5G значительно менее дальнобойный, обладает худшими свойствами по «прохождению» препятствий (стены, мебель и т.д.) по сравнению с 2.4. Это и плюс — меньше помех от соседей и минус — хуже пробивает и по своей квартире.

            Увеличение мощности может не особо помочь, и часто даже вредно. Не забываем, что wifi это двунаправленное соединение. Не только ВЫ должные хорошо слышать точку доступа, но и точка доступа должна хорошо слышать ВАС!

            В телефоне значительно меньше мощность передатчика чем в AP и антенны слабые. При увеличении мощности на AP, может получится так, что у вас все «палки» на wifi телефона, а связь плохая, т.к. вас не слышит точка доступа.

            Это очень важно понять и осознать!

            Решение проблемы с 5ггц — установка большего количества точек или установка точки там, где нужна связь.

            Что бы клиент не переходил на 2.4 с 5, нужно сделать отдельную сеть (SSID) для 5ггц и использовать её. Тогда клиент будет держаться за неё до последнего.

  50. Alex

    Добрый день. Спасибо за статью.
    Борюсь с ветреными мельницами уже несколько месяце. На клиентских устройствах, пропадает соединение с wi-fi. Игрался с access-list, ничего не дало. Иногда откидывание происходит раньше чем принятие к новой точке. Где может быть задержка в переброске?
    Последний access-list
    accept signal-range=-80..120
    reject signal-range=-120..-100
    allow-signal-out-of-range=00:00:10

  51. Эдуард Шевцов

    Как правильно временно отключить 2.4G на точке микротика? Cap на нем настроен, но пока не нужен. Дизейбл капа, я так понимаю, сами антенны не отключает.

    PS на странице перестали открываться спойлеры «Команды консоли», файрфокс

  52. Эдуард Шевцов

    Насчет уменьшения мощности к комментарию выше. Это, помимо настроек страны, как то зависит от совместных настроек мощности 2.4G и 5G на устройстве. По крайней мере я замечал, что Капсман сам снижал мощность, игнорируя значения Тx Power, выставленные в настройках каналов. Это видно в комментариях капсмана (красным) на вкладке интерфейсов.

  53. Александр Бобков

    Всем привет! Настроил всё в точности как в инструкции. У меня микротик RouterBOARD 3011UiAS на нём капсман (wi-fi не настроен), дальше витой парой подключены последовательно 2 cAP Gi-5acD2nD. В общем на протяжение пол года, вроде всё работало нормально, подключил к созданной wi-fi в качестве репитера TL-WA901ND, тоже некоторое время всё было нормально. И вот уже на протяжение больше чем пол года сеть неимоверно глючит. Пинги ужасные, то их вообще нет. То бывает день всё нормально отработает. Уже не знаю, что делать… Помогите, куда копать, куда смотреть, что происходит с wi-fi не понимаю.

    1. Андрей Торженов Автор записи

      1. Попробуйте сменить каналы/частоты. Возможно на вашем канале какая-то помеха.
      2. Проверьте проявляется ли проблема только на какой-то конкретной точке доступа или на всех.
      3. Проблема на 2.4G или и на 5G тоже?

      На врем проверок отключить репитер.

      1. Александр Бобков

        Приветствую!
        1. Каналы пробовал менять, да и офис у нас маленький и находится вдалеке от всего, что могло бы создавать помехи.
        2. На обоих точках проблемы.
        3. На обоих каналах.

        Репитер отключал и на неделю, не помогает…

        1. Андрей Торженов Автор записи

          Если у вас проблемы и на 2.4 и на 5ггц, на всех каналах, на всех AP и всех клиентах, то создаётся у меня впечатление, что проблема не в радио, а например в проводной сети.

          — Проверь логи, может там что есть.
          — Подключитесь к AP кабелем и проверьте, есть ли проблемы в этом случае
          — С AP попингуйте
          — Проверьте нет ли ошибок на ethernet интерфейсе
          — Всё ли нормально с маршрутизацией

          В общем нужно провести стандартную диагностику по траблшутингу…

          P.S. Помехи в радиоэфире могут быть не только от чего-то явного (соседние точки например), но и от датчиков движения, устройств автоматизации производства (датчики разные), некоторые видеокамеры, блютуз, микроволновки и т.д.

          Обнаружить данные помехи средствами AP или сканера wifi сети часто нельзя, нужен спектроанализатор.

          Но конечно, вряд ли у вас помеха в таком широком диапазоне, так что я бы стал разбираться в проводной части.

  54. Эдуард Шевцов

    Ситуация у меня такая.
    1) Роутер hAP ac2 (RBD52G-5HacD2HnD) принимает интернет, на нем настроен CAPsMan, стоит в корридоре, 5G wlan отключен, 2.4 — включен.
    2) Точка доступа CAP ac (RBcAPGi-5acD2nD) — CAP3, стоит в комнате в прямой видимости, подключена по меди, на ней наоборот включен только 5G модуль.

    3) Два ноута HP EliteBook разных поколений. Винда в свойствах на обоих показывает Wi-Fi 5 (802.11ac), скорость 780Mbps/780Mbps. А реальная скорость по спидтесту на каждом — всего лишь 95Мбит/95Мбит, при входящем канале от провайдера в 700Мбит (685Мбит на ноуте по витой паре от роутера). На одном из ноутов заодно заменил wifi-карту Intel 7260N -> Intel7260AC — вообще без изменений по скорости. Т.е. все указывает на то, что скорость ограничивает сама точка. Что посоветуете проверить? Разочарован.

  55. Эдуард Шевцов

    Да, верно. Заметил это по индикации на свитче на этом порту. Там, похоже, что то с самим кабелем, либо розетка плохо обжата, не держит этот порт 1gb, переходит на 100mb. Подключил точку к другой розетке, скорость wifi возраста до 250mbit. Спасибо

  56. gard area51

    Здравствуйте, хотел заметить один момент. Если на капсмане не выбрана галочка «local forwarding», то на точке (cap’е) при включении управления капсманом также можно выбрать bridge. В этом случае интерфейс точки динамически создастся на капсмане, а не на точке. Т.е. поведение меняется только включением / выключением галочки local forwarding на капсмане.

    1. gard area51

      Я к тому, что даже, если вы не планируете использовать local forwarding,… на точках можно указывать локальный (для точек) bridge. Поведение меняется при изменении настроек на CAPsMAN’е.

  57. Baranov Vladimir

    Подскажите пожалуйста в чем может быть проблема, всю голову сломал.

    В CAPSMAN настроил две сети с двумя VLAN и двумя бриджами конечно. На каждом бридже свой DHCP. Local Forwarding включен.
    Точки доступа прекрасно подключаются и настраиваются. При подключении к точкам доступа клиенты прекрасно попадают в обе сети.
    НО! При подключении к самому роутеру (который и capsman и dhcp), клиенты подключаются и авторизуются, но не могут получить IP адрес (наприпмер Андроиды буквально зависают на попытке получить IP адрес). В чем может быть причина?

    1. gard area51

      Может быть потому что dhcp работает только с пулом беспроводных клиентов для точек доступа? Там же указаны интерфейсы, для dhcp, а клиент пришел в другого… Ну, что-то такое..

  58. Максим Сибов

    Спасибо огромное за статью и за актуальность, это лучшее что я видел в сети!
    Перечитал все комменты, и не нашёл похожей на мою проблему.
    Настраиваю капсман на RB760 (подключён к интернету), к нему по eth3 подключён HAPac2
    на HAP по капсману создаётся 2 сети 2,4 и 5 Гц
    CAP стоит в дальней комнате и подключается к созданной капсманом сети по wlan2(5Ghz), модуль wlan1 принимает настройки от капсмана и создаёт дублирующую сеть на 2,4Гц.
    Всё прекрасно работает, только нет доступа из интерфейса eth1 на CAPе к домашней сети (планируется подключить видеорегистратор) …
    Пробовал капсман перенести на HAPac2 — там нет файрволла и никаких правил — результат тот-же.
    Почему так? Кажется что какая то очевидная мелочь забыта)

  59. Sergey Nazarov

    Datapaths — как и куда будет терминироваться трафик от Wi-Fi клиентов.
    Вероятно оговорка и должно быть использовано слово «транслироваться».
    Datapaths — как и куда будет «транслироваться» трафик от Wi-Fi клиентов.

    Терминировать — назвать что-нибудь каким-нибудь термином.
    Datapaths — как и куда будет «называться каким-нибудь термином» трафик от Wi-Fi клиентов.

    С английского слово terminate можно перевести как прерывание, завершение.
    Datapaths — как и куда будет «прерываться (завершаться)» трафик от Wi-Fi клиентов.

  60. Иван Кириленко

    Добрый день! Вопрос не по топику, но буду признателен за ответ-совет.
    Имею RB750Gr3, задача наладить резервный канал интернета через USB модем с LTE.
    Пожалуйста, посоветуйте актуальный рабочий USB модем для работы в mijrotik. Актуальный — который еще продается.
    ps: На руках есть некий usb модем anydata w140. Не работает. Не определяется как интерфейс LTE в Interfaces -> LTE.
    При этом как USB устройство в System -> Resources -> USB он определяется

Добавить комментарий