Настройка MikroTik CAPsMAN v2 на hAP ac (2.4 ГГц и 5 ГГц)

Автор: Андрей Торженов

Обновление от:

wifi_map

Упрощенная схема CAPsMAN сети

В данной статье я не буду глубоко погружаться в настройки Mikrotik, а акцентирую свою внимание на настройке CAPsMAN v2 и особенно на моментах которые мне были непонятны.

Статья рассчитана на начинающих пользователей, которые ещё не сталкивались с CAPsMAN. Она поможет сделать первые шаги в изучении данного продукта, понять архитектуру и принципы работы. В статье приведён один из вариантов настройки Wi-Fi сети на базе CAPsMAN, но на самом деле вариантов больше и под каждую конкретную задачу можно выбрать оптимальный вариант настройки.

MikroTik постоянно улучшает функционал CAPsMAN и с каждой новой версией ROS появляются новые возможности и настройки, так что, не удивляйтесь, если в процессе настройки CAPsMAN у вас будут отличаться параметры или появятся новые, которые не описаны в статье.

Статья постоянно обновляется и дополняется. В случае появления новых функций в CAPsMAN я вношу информацию о них в статью.

Используемое оборудование и ПО:

  • MikroTik hAP ac lite (RouterBOARD 952Ui-5ac2nD) версии 6.35.4 (дополнения к статье делаются уже на актуальных версиях).
  • Для работы с CAPsMAN v2, необходимо активировать пакет wireless-cm2 или wireless-rep (с версии ROS 6.37 пакет wireless-cm2 удалён, а пакет wireless-rep переименован в пакет wireless, так что на ROS 6.37 и старше, используем пакет wireless).

Оглавление

Обновление прошивки Mikrotik

Важно всегда использовать актуальную версию RouterOS ветки (channel) «long term» (для критически важных объектов, где в первую очередь важна стабильность работы) или ветки «stable»!

ВНИМАНИЕ! Обновление Firmware!
После обновления RouterOS не забываем обновить и Firmware! Это очень важное замечание, т.к. если вы обновили RouterOS но не актуализировали Firmware, может быть множество непонятных глюков! Firmware, это что-то типа BIOS на компьютере, а RouterOS уже операционная система.

Обновление RouterOS

Меню System > Package. Мы увидим какая версия ROS установлена и какие используются пакеты.

Нажимаем Check For Updates (1), выбираем ветку с которой будем делать обновление (2) и нажимаем кнопку Check For Update (3).

Если у вас не актуальная версия RouterOS то появится информация с изменениями в новой версии (What’s new) и кнопка Download&Install, нажмите её.

Команды в консоли

Обновление Firmware

Обновление firmware Mikrotik

Меню System > Routerboard. Далее смотрим, если у вас отличаются версии Current firmware и Upgrade firmware (1), тогда нажимаем кнопку Upgrade (2) и перезагружаем роутер (меню System > Reboot).

Команды в консоли

Первый hAP ac lite в роли CAPsMAN v2 и Wi-Fi AP


Временно отключите Firewall

В ROS 6.44 и старше исправили ниже описанную проблему:

Для ROS младше 6.44:

На время настройки отключите все правила Firewall на MikroTik с CAPsMAN!

Из-за некорректной настройки Firewall (цепочка input) могут быть проблемы с подключением локального CAP к CAPsMAN.

Настройте CAPsMAN, проверите что всё работает, а дальше корректно настроите Firewall.

Проблема появляется в случае, если у вас присутствует правило запрещающее (drop) весь входящий трафик (цепочка input). Даже если у вас разрешен входящий трафик из локальной сети, этого недостаточно.

Подробнее о проблеме и решение:

Если у вас локальный CAP (который находится на самом CAPsMAN) не подключается к CAPsMAN, но подключается при отключении Firewall, то можете сделать ниже приведенные рекомендации с использованием IP адреса loopback.

Ссылки на подробную информацию:

Или можно применить рекомендации приведенные на официальном ресурсе

Если у вас используется конфигурация по умолчанию:

Если вы не используете конфигурацию по умолчанию:

Подробнее: https://wiki.mikrotik.com/wiki/Manual:Simple_CAPsMAN_setup#CAP_in_CAPsMAN

Вернитесь к этой заметке если сталнётесь с этой проблемой.

Настройка идентификатора MikroTik’а

Прописываем идентификатор MikroTik’а, что бы в дальнейшем было проще ориентироваться.

capsman_identity

Команды в консоли

Настройка бриджа

Создаем bridge, добавляем в него интерфейсы (все кроме Wi-Fi) и присваиваем IP адрес. Wi-Fi интерфейсы сами добавятся в нужный бридж.

Акцентировать на этом внимание не буду, всё стандартно.

Во время настройки бриджа и добавления в него портов может отвалится WinBox. Просто переподключитесь.

capsman_bridge capsman_bridge_ip

Команды в консоли
Wi-Fi интерфейс и bridge

Не добавляйте в bridge Wi-Fi интерфейсы. CAPsMAN, в зависимости от настроек Local Forwarding в Datapath, сам добавит или нет Wi-Fi интерфейсы в bridge.

Если вы вручную добавите Wi-Fi в bridge, могут быть проблемы и сообщения в логах:

bridge port received packet with own address as source address (4f:5e:0d:15:60:6s), probably loop

Настройка CAPsMAN на hAP ac lite

Иерархическая структура настроек CAPsMAN

Что бы было проще ориентироваться в приведенных настройках CAPsMAN, опишу иерархию настроек.

capsman_config_top

Все настройки Wireless интерфейсов объединяются в Groups (профили настроек), Groups привязываются к Configuration, а уже Configuration ассоциируется с Provisioning.

Provisioning это правила настройки CAP’ов. Когда CAP подключается с CAPsMAN он подгружает (динамически или статически) свой Provisioning и с помощью него получает все необходимые настройки.

Configuration могут быть Master и Slave. Master это основная конфигурация, Slave дополнительная, например для гостевой сети.

Groups (профили настроек) в CAPsMAN:

  • Channels  — настройки каналов (частоты), шириной канала, мощность и т.д..
  • Datapaths — как и куда будет терминироваться трафик от Wi-Fi клиентов.
  • Security — безопасность Wi-Fi. Ключи и типы шифрования.

Groups, Configuration и Provisioning может быть множество для разных задач.

В нашем случае, будет созданы две Master Configuration для 2.4 Ghz и 5 Ghz диапазонов и два Provisioning для CAP с двумя радиокартами 2.4 Ghz и 5 Ghz. Slave конфигурация не используется.

Подробнее: CAPsMAN Configuration Concepts

Включаем CAPsMAN

capsman_enable_capsman

Выбираем меню CAPsMAN (1), нажимаем кнопку Manager (2) и включаем CAPsMAN (3).

Таблица распределения частот 2.4 Ghz и 5 Ghz

Таблица распределения частот 2.4 Ghz и 5 Ghz

Таблица распределения частот 2.4 Ghz и 5 Ghz

Поддерживаемые частоты/каналы для выбранной страны

Поддерживаемые страны

Поддерживаемые частоты для выбранной страны

Таблица распределения 2.4 Ghz частот и каналов

Wi-Fi 2.4 ГГц. Схема распределения каналов

Wi-Fi 2.4 ГГц. Схема распределения каналов

Wi-Fi 2.4 ГГц. Таблица распределения частот

Используйте частоты разрешённые в вашем регионе!

Настройка Channel для 2.4 Ghz (20 Mhz)

capsman_channel

Выбираем закладку Channel (1) добавляем канал (2).

Указываем имя группы каналов, частоту, ширину канала (20 Mhz), поддерживаемые стандарты 802.11 (b/g/n), мощность (20).

Мы создали первый канал (канал 1) для первого CAP’а, теперь нам необходимо создать второй не пересекающийся канал (канал 6) для второго CAP’а.

Настраиваем его аналогичным образом.

Результат будет таким:

capsman_channel_list

Автоматический выбор канала

Если вы хотите чтобы CAPsMAN сам выбирал свободный канал из заранее определённых каналов, можно сделать следующее:

В этом случае, CAPsMAN будет выбирать самый удачный в данный момент канал и менять его, если необходимо, раз в сутки.

Таблица распределения 5 Ghz частот и каналов

Wi-Fi 5 ГГц. Схема распределения каналов

Wi-Fi 5 ГГц. Схема распределения каналов

Wi-Fi 5 ГГц. Таблица распределения частот

Используйте частоты разрешённые в вашем регионе!

Настройка Channel для 5 Ghz (40 Mhz)
capsman_channel_5

Настройки аналогичны настройкам для 2.4 Ghz. Добавляем канал 36 (5180 Mhz) и потом канал 44 (5220 Mhz).

Обратите внимание как устанавливается ширина канала. Эта настройка весьма не очевидна. Если нам нужно 40 Mhz, то мы в Width ставим 20, а в Extension Channel указываем куда будем расширять канал. Выше (Ce) или ниже по каналам (eC).

Если вам нужно 80 Mhz то будет Ceee или eeeC, а в Width всё те же 20 и т.д. Подробно данная тема обсуждалась на форуме MikroTik тут и тут.

 

Результат будет таким:

Если у вас не стоит задача вручную разносить CAP’ы на непересекающиеся каналы, то можно создать только по одному Channel для 2.4 Ghz и 5 Ghz, а поле Frequency оставить пустым. Тогда CAPsMAN будет сам, автоматически, распределять между CAP’ами частотные каналы. Но я считаю, что лучше вручную распределить каналы. Выбор за вами. Ниже я опишу процесс присваивания индивидуального канала для каждого CAP’а.
Автоматический выбор канала

Если вы хотите чтобы CAPsMAN сам выбирал свободный канал из заранее определённых каналов, можно сделать следующее:

В этом случае, CAPsMAN будет выбирать самый удачный в данный момент канал и менять его, если необходимо, раз в сутки.

Настройка Datapaths

Настраиваем как будет ходить трафик от Wi-Fi клиентов.

capsman_datapaths

Выбираем закладку Datapaths (1), добавляем новый (2), выбираем ранее созданный Bridge (3) и устанавливаем Local Forwarding (3) и Client To Client Forwarding (4).

Client To Client Forwarding — разрешаем или нет Wi-Fi клиентам видеть друг-друга в рамках одного радиомодуля (радиоинтерфейса).

Local Forwarding — если включён Local Forwarding, то Wi-Fi интерфейс добавится в локальный бридж конкретной CAP и трафик от Wi-Fi клиентов подключённых к данной CAP будет терминироваться локально.

CAPsMAN: Local Forwarding: On

CAPsMAN: Local Forwarding: On

Если Local Forwarding выключен, то организуется туннели от CAP до CAPsMAN. Wi-Fi интерфейсы CAP’ов добавятся в бридж CAPsMAN’а и весь трафик со всех CAP’ов, через туннели, пойдёт централизованно через CAPsMAN.

В этом случае значительно вырастают требования к аппаратным ресурсам для CAPsMAN т.к. весь трафик от клиентов проходит через него, а также требуются дополнительные ресурсы на инкапсуляцию пакетов в туннели и шифрование.

Если аппаратных ресурсов не будет хватать, то будет снижение скорости у Wi-Fi клиентов и высокая загрузка процессора у CAPsMAN.

Но тут есть и плюсы. Один из них, это то, что весь трафик от Wi-Fi клиентов пойдёт через CAPsMAN и его проще контролировать, т.к. CAPsMAN это единственная точка входа/выхода для всего трафика клиентов.

CAPsMAN: Local Forwarding: Off

CAPsMAN: Local Forwarding: Off

Пример, когда выключен Local Forwarding и все CAP’ы динамически добавлены в bridge CAPsMAN’а:

capsman_bridge_cap

 

Настройка Security

Всё стандартно и понятно, останавливаться подробно не буду.

capsman_sec

CAPsMAN log: disconnected, group key timeout

Некоторые Wi-Fi клиенты отключаются от точки доступа примерно раз в 5 минут и в этот момент в логе MikroTik появляется запись:

caps,info 28:FF:4E:BD:CA:4F@cap3 disconnected, group key timeout

Необходимо увеличить параметра group-key-update (как часто, точка доступа обновляет и передаёт клиентам новый групповой ключ). Данный параметр появился с версии ROS 6.38.

Подробнее в статье: Mikrotik: disconnected, group key exchange timeout

В случае возникновения подобных проблемы установите параметр group-key-update равный одному часу.

Пример:

 

Создание Configuration для 5 Ghz

capsman_config_wireless

В закладке Configurations (1) добавляем конфигурацию (2) для 5 Ghz диапазона.

Задаём имя конфигурации (3), режим работы Wi-Fi радио карты (4), SSID (5), страну (6) и антенны (7).

В закладках Channel, Datapath и Security выбираем выше созданные Groups (профили настроек).

capsman_config_ch

По умолчанию, все новые CAP’ы динамически подключенные к CAPsMAN будут использовать канал 36. В дальнейшем мы сможем задать свой собственный канал для каждой CAP.capsman_config_data capsman_config_sec

Создание Configuration для 2.4 Ghz

capsman_config_wireless_2Настройки аналогичны настройкам для 5 Ghz, задаём только своё имя конфигурации (1).

В закладках Channel, Datapath и Security выбираем выше созданные Groups (профили настроек).

capsman_config_ch_2По умолчанию, все новые CAP’ы динамически подключенные к CAPsMAN будут использовать канал 1. В дальнейшем мы сможем задать свой собственный канал для каждой CAP. capsman_config_data_2 capsman_config_sec_2В результате мы получим две конфигурации для 2.4 и 5 Ghz диапазонов.

capsman_config_listНастройка Provisioning

Возможности Provisioning весьма широкие, в данном примере показан один из простых примеров — всем CAP присваивать одинаковую конфигурацию на основе их аппаратных возможностей (используемых радиомодулей).

Но можно создавать более сложные правила Provisioning’а, например:

  • на основе MAC адреса радиомодуля — выделить какому-то конкретному CAP персональную конфигурацию (например распределить меду CAP частотные каналы на основе их MAC адресов радиомодулей),
  • присвоить конфигурацию CAP’ам на основе их Identity,
  • сделать несколько вторичных конфигураций для CAP’ов (SSID), например для гостевой сети,
  • задать правила присвоения имен CAP’ам,
  • и другие вариант.

 

И так, мы создали группы с настройками для каналов (Channel), безопасности (Security), группы с правилами хождения трафика (Datapath) и объединили эти группы в конфигурации (Configuration) для двух диапазонов 2.4 Ghz и 5 Ghz.

Теперь необходимо создать правила настройки CAP’ов (Provisioning). Каким CAP’ам, какие конфигурации будут присваиваться (конфигураций может быть много с разными настройками).

Делается это с помощью Provisioning.

Для того, что бы одному устройству с двумя радиомодулями (2 ГГц и 5 ГГц) присвоить конфигурацию для двух диапазонов, нужно создать два раздельных Provisioning. Каждый провижининг привязывается к MAC адресу нужного радиомодуля (2 и 5 ГГЦ).

Создадим два Provisioning для 2.4 и 5 Ghz диапазонов.

Provisioning для MikroTik с 5Ghz радиокартами

capsman_prov_5

  • Мы можем указать конкретный MAC адрес радиомодуля (1) CAP’а, которому будет присваиваться конкретное правило настройки (Provisioning). В данном случае, MAC всё нули, т.е. применять для всех CAP’ов с любым MAC.
  • Указываем для каких радиокарт (2) действует данное правило настройки (Provisioning). В нашем случае для карт 802.11a, n и ac.
  • Параметр Action (3) указываем как на скриншоте.
  • Выбираем ранее созданную конфигурацию для 5 Ghz (4).

Provisioning для MikroTik с 2.4 Ghz радиокартами

capsman_prov_2

  • Мы можем указать конкретный MAC адрес радиомодуля (1) CAP’а, которому будет присваиваться конкретное правило настройки (Provisioning). В данном случае, MAC всё нули, т.е. применять для всех CAP’ов с любым MAC.
  • Указываем для каких радиокарт (2) действует данное правило настройки (Provisioning). В нашем случае для карт 802.11b, g и n.
  • Параметр Action (3) указываем как на скриншоте.
  • Выбираем ранее созданную конфигурацию для 2.4 Ghz (4).

В результате мы получим следующий список Provisioning:

capsman_prov_list

Команды в консоли

На этом, базовые настройки CAPsMAN закончены.

Настройка локальных Wireless интерфейсов для работы с CAPsMAN

Мы настроили CAPsMAN на первом hAP ac lite, теперь настроим на нём Wireless интерфейс (локальный CAP), которая будет под контролем CAPsMAN.

  • Заходим в меню Wireless (1).
  • Нажимаем кнопку CAP (2).
  • Включаем работу CAP с CAPsMAN (3).
  • Выбираем Interfaces (4) которые будут под контролем CAPsMAN (wlan1 — 2.4Ghz и wlan2 — 5Ghz).
  • Для локального CAP, указываем локальный (loopback) IP адрес CAPsMAN (5) [И если нужно настраиваем firewall для пропуска локального трафика от CAP к CAPsMAN. Подробнее тут]. IP можно не указывать, а указать только Discovery Interfaces. CAP будет искать CAPsMAN в той сети, где находится Discovery Interfaces.
  • Указываем Bridge (6) в который будет добавляться Wireless интерфейс если включен Local Forwarding в Datapath.
Команды в консоли

В результате мы видим, что Wireless интерфейсы wlan1 и wlan2 находятся под управлением CAPsMAN.

cap1_wireless_list

Полный конфиг первого hAP ac lite (CAPsMAN-CAP1)

Ошибка - "possible regulatory info mismatch with CAP"

Если появилась ошибка — «possible regulatory info mismatch with CAP» , то отключите CAP от CAPsMAN и сделайте «Reset Configuration» в «Wireless» и подключите обратно CAP к CAPsMAN.

Mikrotik: Wireless Reset Configuration

Mikrotik: Wireless Reset Configuration

Команды в консоли

Второй hAP ac lite в роли Wi-Fi AP под управленим CAPsMAN

Настройка идентификатора MikroTik’а

Прописываем идентификатор MikroTik’а, что бы в дальнейшем было проще ориентироваться.

cap2_id

Команды в консоли

Как и для CAPsMAN создаем бридж.

Создаем bridge, добавляем в него интерфейсы (все кроме Wi-Fi) и присваиваем IP адрес.

Wi-Fi интерфейсы сами добавятся в нужный бридж.

cap2_bridge cap2_bridge_ip

Команды в консоли

Настройка Wireless интерфейсов для работы с CAPsMAN

Настройки Wireless интерфейсов для работы с CAPsMAN, точно такие же, как и для CAP1.

cap1_config

  • Заходим в меню Wireless (1).
  • Нажимаем кнопку CAP (2).
  • Включаем работу CAP с CAPsMAN (3).
  • Выбираем Interfaces (4) которые будут под контролем CAPsMAN (wlan1 — 2.4Ghz и wlan2 — 5Ghz).
  • Указываем IP адрес CAPsMAN (5). IP можно не указывать, а указать только Discovery Interfaces. CAP будет искать CAPsMAN в той сети, где находится Discovery Interfaces.
  • Указываем Bridge (6) в который будет добавляться Wireless интерфейс если включен Local Forwarding в Datapath.
Команды в консоли

В результате мы видим, что Wireless интерфейсы wlan1 и wlan2 находятся под управлением CAPsMAN.

cap1_wireless_list

Полный конфиг второго hAP ac lite (CAP2)

На этом настройки второго hAP ac lite закончены, и Wi-Fi сеть должна работать, но правда на одном канале. Нас это не устраивает. Продолжаем дальше…

Настройка индивидуальных частотных каналов для CAP

Мы настроили CAPsMAN и две Wi-Fi точки доступа (CAP1 — находится на том же hAP что и CAPsMAN и CAP2 — на втором hAP’е). Если вы всё правильно настроили, то они подключились к CAPsMAN.

Открываем CAPsMAN на закладке Interfaces и видим 4 динамически (буква D (1)) созданных интерфейса (у нас два CAP’а и каждый с двумя радиоинтерфесами).

capsman2_if

Описание букв в левой колонке

Wi-Fi сеть уже работает, но все CAP’ы находятся на одном канале (2), а нам нужны разные.

Применить индивидуальные конфигурации для CAP (а частотный канал, это один из параметров конфигурации), можно как в статическом режиме, так и в динамическом.

Статическое распределение персональных частотных каналов (конфигураций)

Сейчас CAP’ы прописаны в CAPsMAN динамически (автоматически) и соответственно каналы прописались те, что мы указали ранее в конфигурации (groups channel).

В данный момент все CAP’ы подключены к CAPsMAN динамически (буква D) и в связи с этим на них нельзя менять параметры. Параметры можно менять только на статически привязных CAP’ах к CAPsMAN.

Открываем свойства интерфейса cap1 (он у нас на 2.4Ghz на CAP1), нажимаем Copy (1) и в окне параметров нового интерфейса, производим необходимые настройки. Дадим более понятное имя интерфейсу (2) и частоту канала (3).

capsman2_if_cap_copy

Теперь выбираем cap2 интерфейс (он у нас на 5Ghz на CAP1). Так же указываем имя и канал.

capsman2_if_cap_copy_5Повторяем такие же манипуляции для CAP2 (соответственно выбираем другие частотные каналы).

В результате видим следующее:

capsman2_if_cap_copy_resultУ каждой CAP свой канал для 2.4Ghz и для 5Ghz (1), но интерфейсы неактивны (буква I) (2).

Изменения в новых настройках интерфейсов CAP’ов мы сделали, теперь нужно присвоить новые конфигурацию CAP’ам.

Заходим в закладку Remote CAP (1), выбираем первый CAP (2) и нажимаем кнопку Provision (3).

capsman2_cap_static_provПовторяем такие же манипуляции для CAP2.

Команды в консоли

В результате мы видим, что все интерфейсы привязались к своим CAP (буква B) и у каждой CAP свой канал (частота).

capsman2_if_cap_after_prov_result

Полный конфиг первого hAP ac lite (CAPsMAN-CAP1) со статической привязкой CAP

Динамическое распределение персональных частотных каналов (конфигураций)

При больших инсталляциях, будет удобней использовать персональные правила динамического провижининга для каждой CAP на основе MAC адреса радиомодуля CAP.

Т.е. есть у нас 50 CAP’ов, то создаём для них 100 персональных правил провижининга (одно правило для 2.4ГГц, второе для 5ГГц, в сумме 100 правил).

Пример создания правила:

Создание правила Provisioning

Создание правила Provisioning

  1. Указываем MAC радиоинтерфейса CAP.
  2. Тип/технология радиоинтерфейса.
  3. Конфигурация которая будет присваиваться данной CAP.
  4. Можно указать дополнительную конфигурацию для CAP (например для гостевой сети).
  5. Задаём правило формирования имени которое присваивается CAP’у.
  6. Задаём имя для CAP.
  7. В результате видим, что у нас появился радионтерфейс.
Команды в консоли

Настройки закончены, можно подключаться к сети.

Используя такую же методику, можно изменять любые параметры на конкретных CAP’ах. Например, у всех CAP’ов в сети ширина канала 40 Mhz, но для одного CAP’а нам нужно сделать 20 Mhz.

В CAPsMAN закладке Registration Table, можно посмотреть какие пользователи, с какими параметрами и к какому интерфейсу подключены.

capsman2_reg_tbl

Команды в консоли

Бесшовный роуминг Wi-Fi (handover)

Замечание на тему Wi-Fi роуминага:

Переход от одной AP к другой AP (роуминг) — прерогатива самого клиента. Именно клиент принимает решение, когда ему переходить с одной точки на другую и нужно ли вообще переходить.  На разных Wi-Fi клиентах, данный процесс может быть по разному реализован или не реализован вообще.

Стандарты 802.11r/k/v предоставляют клиенту только информацию помогающую в роуминге, они не заставляют клиента выполнить процедуру роуминга. Как клиент поступит с этой информацией, остаётся на совести клиента.

В MikroTik нет поддержки протоколов роуминга (802.11r/k/v, OKC и др.). Так же, как их нет и у конкурента в своём ценовом диапазоне — Ubiquiti. В своё время, Ubiquiti разрабатывала свой протокол роуминга — Zero Handoff, но сейчас отказалась от него в новых версиях AP AC Gen2 (не оправдал ожидания и только создавал новые проблемы), а на старых AP не рекомендует его использовать:

«First, the ‘ZH’ feature isn’t not recommended in the vast majority of deployments…»

http://community.ubnt.com/t5/UniFi-Wireless/Unifi-AP-Zero-Handoff-Decision/m-p/1536502/highlight/true#M155829

Ubiquiti в новых AP AC Gen2 не планирует реализовывать ZHO, а сосредоточится на 802.11r :

Re: Zero Handoff: Support for UAP-AC-PRO?
Options
‎02-18-2016 09:41 AM

@esseph is right. Currently there are no plans for ZHO on gen2 AC products. The focus will be 802.11r/v/k.

Cheers,
Mike https://community.ubnt.com/t5/UniFi-Wireless-Beta/Zero-Handoff-Support-for-UAP-AC-PRO/m-p/1486351#M23046

Но вернёмся к Mikrotik. На форуме Mikrotik я встречал упоминание, что они тоже работают над 802.11r, но точных ссылок на эту информацию не дам. Может в RouterOS 7 что-то и появится, посмотрим.

Замечание на тему 802.11r

802.11r в сети из зоопарка клиентских устройств, может создать дополнительные проблемы. Не на всех Wi-Fi клиентах корректно реализован 802.11r или не реализован вообще и такие устройства не будут подключаться к вашей Wi-Fi сети.

Так что, поддержка 802.11r не обязательно решит ваши проблемы с роумингом (хендовером), а может ещё и создать новые проблемы с жалобами о невозможности подключения к Wi-Fi.

Вернёмся к реализации «роуминга». Что можно сделать в случае, если с роумингом возникают проблемы.

В Mikrotik есть возможность, с помощью access-list’ов «сбросить» пользователя с CAP, по достижению пользователем, заранее заданного минимального уровня сигнала. Т.е. клиент не будет держаться до последнего за конкретный CAP (точку доступа), а принудительно отключится от него и подключится к соседнему CAP’у с большим уровнем сигнала (у Ubiquiti сейчас такая же реализация).

По моему опыту, во время переключения теряется 1 пинг.

Функция сброса клиента по уровню сигнала, актуальна для старый Wi-Fi клиентов, современные Wi-Fi клиенты не нужно принудительно сбрасывать (в большинстве случаев), они самостоятельно будут переходить с CAP на CAP. Но бывают случаи когда без access-list’ов ни куда. Подробнее будет ниже в главе: Комментарии на тему роуминга и Access-List’ов

Создаём Access List с ограничениями по уровню сигнала

capsman2_alВ CAPsMAN заходим в закладку Access List и создаем два правила:

  1. Правило разрешающее — accept (2) — подключение клиентов с уровнями сигналов лучше чем -79 dBm (2).
  2. Правило запрещающее — reject (4) — подключение клиентов с сигналом хуже чем -80 dBm (3).
Команды в консоли

Если в радиусе действия клиента будет другой CAP, он зарегистрируется на нём. В логах и Registration Table можно смотреть процесс переключения клиента.

На форумах встречал утверждение, что правила Access List’а проверяются только в момент подключения клиента к Wi-Fi сети и что если уровень сигнала клиента, изменится когда клиент уже подключен, то правила Access List’а не сработает.

Данное утверждение неверно, Access List постоянно контролирует клиента и если его уровень сигнала опустится ниже настроенного уровня, то клиент будет сразу отброшен Access List’ом.

В версии ROS 6.42 появилась опция allow-signal-out-of-range, она позволяет реализовать проверку уровня сигнала клиента только в момент подключения к Wi-Fi сети.

Опция Access-List’а: allow-signal-out-of-range

C версии ROS 6.42 в реализации Wi-Fi c CAPsMAN для Access List’ов появилась опция «allow-signal-out-of-range». Она пока ещё не описана в документации. Данная опция позволяет, настроить проверку уровня сигнала клиента с помощью Access List только в момент подключения клиента к Wi-Fi или указать время в течении которого Mikrotik будет игнорировать снижение уровня сигнала от клиента.

Например: Если данный параметр поставить 10s и у клиента кратковременно упадёт сигнал (например рукой антенну закрыл), то Mikrotik не отбросит его сразу, но если от клиента уровень сигнала будет низкий больше 10 секунд, то его отключат от AP.

Пример настройки

В данном случае, клиент отключится от Wi-Fi AP если его уровень сигнала в течении 10 секунд будет хуже -75 dBm.

Если установить «always», то проверяться уровень сигнала Wi-Fi клиента, будет только в момент подключения клиента к Wi-Fi AP, далее его изменения игнорируются.

CAPsMAN Access-List с опцией allow-signal-out-of-range

CAPsMAN Access-List с опцией allow-signal-out-of-range

Команды в консоли

Тестирование роуминга (хендовера)

Имеется два CAP’а под управлением CAPsMAN (CAP5 и CAP6). В настройках Bridge выключен Local Forwarding. В Access List’е настроены минимальные уровни сигнала при которых клиент может работать с нашей Wi-Fi сетью.

Для тестирования были следующие уровни сигнала:

С помощью смартфона, я подключился к CAP5 и стал перемещаться к CAP6. На смартфоне запущен ping.

Как только на CAP5, уровень сигнала от смартфона опустился ниже указанного порога, я сразу переключился на CAP6.

Лог:

В логе видно:

  • CAPsMAN отключил от CAP5 клиента в связи с низким уровнем сигнала: cap5 disconnected, too weak signal
  • и в ту же секунду, клиент подключился к CAP6 без повторного DHCP запроса.

В этот момент на клиенте был потерян один ICMP пакет (ping)

Mikrotik Wi-Fi роуминг

Mikrotik Wi-Fi роуминг

Описание протоколов Wi-Fi-роуминга

В статье, достаточно подробно описаны различные механизмы реализации роуминга их отличия друг от друга и особенности. Данное описание применительно не только для оборудования Cisco.

Комментарии на тему роуминга и Access-List’ов

Если у вас используются современные Wi-Fi клиенты, то вам скорей всего не понадобятся Access List’ы (с ограничением по уровню сигнала) и мало того, они вам могут навредить (клиенты будут постоянно то подключаться то отключаться от AP, когда от них падает уровень сигнала).

Access-List’ы нужны для принудительного отключения Wi-Fi клиента который «намертво» зацепился за Wi-Fi AP и висит на ней до последнего, пока уровень сигнала не упадёт до нуля. Современные Wi-Fi адаптеры в клиентских устройствах, обычно таким поведением не страдают и сами, без дополнительного «пинка», переключаются на соседнюю AP.

Для чего я бы рекомендовал использовать Access-List’ы

  1. Использовать Access-List’ы стало удобно с опцией «allow-signal-out-of-range» . Вы можете ограничить подключение к Wi-Fi по уровню сигнала от клиента. Клиенты только с указанным уровнем сигнала смогут подключиться, но уже подключенные клиенты не будут отключаться от Wi-Fi, если их уровень сигнала упал в процессе работы (т.е. не будет прыганье клиентов с AP на AP). Данная опция удобна, если вы не хотите, что бы к вашей Wi-Fi сети подключались далёкие клиенты со слабым сигналом, которые находятся на границе зоны покрытия вашей Wi-Fi сети. Такие клиенту могут снизить производительность всей вашей Wi-Fi сети и лучше не разрешать им регистрироваться.
  2. Если у вас используются старые Wi-Fi устройства, которые сами не переключаются с AP на AP и просаживают всю Wi-Fi сеть, да и сами плохо работают из-за слабого сигнала. Мне попадались с подобным поведением старые Wi-Fi IP телефоны и какие-то терминалы для сканирования штрих кодов. Вы можете настроить ограничение по уровню сигнала в Access-List’ах только для таких устройств (по MAC адресам).

Когда развернёте Wi-Fi сеть, протестируйте как работают ваши Wi-Fi клиенты и тогда уже принимайте решение с какими настройками использовать Access-List’ы или не использовать их вообще.

Как клиентское устройство выбирает частотный диапазон к которому подключиться

Часто возникает вопрос: как при одном SSID для 2.4 и 5 ГГц клиентское устройство выбирает частоту к которой подключаться?

Выбор частоты является ответственностью клиентского устройства.

Я проводил эксперименты на разных устройствах и конфигурациях сети. Результаты были следующие:

Если уровень сигнала на 5 ГГц удовлетворяет требованиям клиента, то он всегда подключается к 5 ГГц, если уровень сигнала падает до неприемлемого уровня, то он переключится на 2.4 ГГц. Если уровень сигнала на 5 ГГц вернулся в норму, то клиент автоматически ¹ не переключится к нему с 2.4 ГГц, переключить можно только принудительно — отключить и обратно включить Wi-Fi на клиентском устройстве.

Если вы создадите два SSID — отдельно для 2.4 и 5 ГГц и зарегистрируете клиента в обоих SSID, то клиентское устройство будет работать абсолютно так же — всегда будет пытаться подключиться к 5 ГГц и, если нет… тогда уже к 2.4 ГГц.

Комментарий от 18/02/2018
1 — Я уже сомневаюсь в правильности моих утверждений на тему — «Если уровень сигнала на 5 ГГц вернулся в норму, то клиент автоматические не переключится к нему с 2.4 ГГц».

Автоматически переключиться может на 5 ГГц, но не на всех клиентских устройствах. Всё зависит от реализации Wi-Fi на конкретном клиентском устройстве.

Провёл эксперимент, который опроверг категоричность моего утверждения. Суть эксперимента в в следующем:

В Wi-Fi сети, под управлением CAPsMAN есть два разных SSID для 2.4 и 5 ГГц. Когда я перезагрузил CAPsMAN, то радиомодуль на 2.4 ГГц (cap1) поднялся сразу и к нему подключился ноутбук, а вот модуль на 5 ГГц (cap2) выполнял процедуру Radar Detection и поднялся позже.

В этот момент, ноутбук увидел SSID с 5 ГГц и автоматически переключился с 2.4 GHz (cap1) на 5 GHz (cap2).

Лог:

Так что, не всё так однозначно в этом вопросе…

Многое, а если точнее — почти всё, зависит от реализации Wi-Fi на клиентском устройстве и в этом одна из самых больших проблем Wi-Fi. Не может Wi-Fi точка доступа или контроллер управлять клиентским устройством, клиент сам решает как ему работать, какие частоты выбирать, как производить процедуру роуминга и т.д.

Презентации с MUM на тему CAPsMAN

Полезные ссылки

Ссылки на описание работы роуминга у разных производителей

 

The following two tabs change content below.
В профессиональной сфере занимаюсь всем, что связанно с IT. Основная специализация - VoIP и сети передачи данных. Стараюсь не заниматься Windows серверами (но иногда приходится) и 1С.

Настройка MikroTik CAPsMAN v2 на hAP ac (2.4 ГГц и 5 ГГц): 201 комментарий

  1. Ivan Chirkov

    Спасибо за статью!
    Не могли бы вы подробнее рассказать/объяснить в чем разница (на практике) между включенным и выключенным Local Forwarding?
    Когда стоит включать Local Forwarding, а когда выключать?

    Из своего опыта могу сказать, что при выключенном Local Forwarding переключение между капами происходит почти незаметно (например, разговор голосом по Skype фризится на мгновение и пользователи этого почти не замечают), а вот если Local Forwarding включен, то тот же Skype звонок в большинстве случаев отваливается. Почему так происходит?

    1. Андрей Торженов Автор записи

      На тему Local Forwarding.

      У нас есть два CAP’а:
      CAP1, на нём поднят CAPsMAN и Wi-Fi AP.
      CAP2, поднят Wi-Fi AP.

      Если выключить Local Forwarding, то трафик от клиентов CAP2 пойдет через CAP1. Т.е. от CAP2 до CAP1 организуется некий туннель и весь трафик будет идти через CAP1 CAPsMAN. Если CAP’ов много и у всех выключен Local Forwarding, то ВЕСЬ трафик от пользователей этих CAP’ов будет идти через CAP1. CAP1 будет ЕДИНОЙ точкой входа и выхода трафика всей Wi-Fi сети.

      Если включен Local Forwarding, то трафик от всех CAP’ов (Wi-Fi клиентов) будет терминироваться локально, не будет идти на CAP1.

      Как-то так…

      Да, при выключении Local Forwarding, переключение может быть быстрее.

      1. Ivan Chirkov

        Спасибо за ответ.

        А есть ли у вас опыт или информация, как capsman разруливает коллизии в wi-fi сети? Имеется ввиду проблема скрытого узла (http://zscom.ru/chto-takoe-polling-v-wifi-setyah)
        Ведь деже при двух капах пользователи уже могут «не видеть» друг друга напрямую при этом находят в одной wi-fi сети.

        У меня есть 4 капы, разбросанные по офису (настроено как в вашей статье, за исключением 5Ghz (нет) и LocalForwardin (выключен)). Время от времени у клиентов пропадает интернет, при этом соединение с wi-fi не пропадет. Интернет возвращается через пару минут или после отключения включения wi-fi на машине клиента. Подозрение на коллизии в сети.

        1. Андрей Торженов Автор записи

          На тему коллизий. У MT есть режим: Frame protection support (RTS/CTS)
          подробней тут: http://wiki.mikrotik.com/wiki/Manual:Interface/Wireless#Frame_protection_support_.28RTS.2FCTS.29

          TDMA у них тоже есть (режим Nsteram и NV2).
          Это проприетарный режим, работает только с Микротиками.
          Подробней тут: http://wiki.mikrotik.com/wiki/Manual:Interface/Wireless

          Frame protection support можно настроить в CAPsMAN, TDMA пока не поддерживается, да и думаю вам это не нужно.

          С такой проблемой, как у вас не сталкивался… думаю вам лучше тут вопрос задать: http://forum.nag.ru/forum/index.php?showforum=56

          Может есть какие-то закономерности у тех пользователей, которых возникают проблемы? Одинаковые wifi карты например?

          1. Эдуард Гильмутдинов

            Смотрите. Есть контроллер RB3011UiAS без wifi он является Capsman. Есть 4 точки доступа RBcAPGi-5acD2nD подключенные к контроллеру по витой паре в каждый порт. Что бы клиенты видели друг друга я создал на каждой точке бридж и все интерфейсы туда добавил. И в Capsman поставил галку Local Forwarding что бы клиенты ходили к друг дуру через точку свою АР а не через контроллер. Сервер с 1с подключен по витой паре к контроллеру. Но клиенты на ноутах жалуются на скорость в 1с и интернет (хотя последний 100мб) Сеть по витой паре везде гигабитная до точек доступа. У клиентов коннект максимальный 150мб. Еще проблема клиенты подключаются автоматом не к своей точке доступа а в соседний кабинет.

          2. Андрей Торженов Автор записи

            У клиентов коннект максимальный 150мб.

            Это канальная скорость Wi-Fi, к реальной скорости эта цифра ни какого отношения не имеет, тем более если у вас используется диапазон 2.4 ггц. Обычно он очень зашумлён соседями и реальная скорость может быть меньше раза в 10 или даже ещё меньше. Нужно сделать замеры реальной скорости когда жалуются.

            Просканируйте эфир, посмотрите много ли ещё «соседей» находятся на данном диапазоне.

            Еще проблема клиенты подключаются автоматом не к своей точке доступа а в соседний кабинет.

            Только сам клиент принимает решение к какой точке доступа подключаться. Контроллер в этом не участвует! Скорей всего, клиентское устройство получает более мощный сигнал от соседней точки, к ней и подключается.

            Поиграйтесь с выходной мощностью на точках доступа. Например уменьшить у соседней. Так же можно попробовать переместить точки доступа в другое место.

    2. Никита Иванов

      Я так это понял: при включенном каждая точка доступа работает как шлюз, а при выключенном — все стекается через контроллер. Типа чтобы разгрузить точку доступа.
      Например, если кто качает торрент, то нагружается только одна точка доступа а не контроллер.

  2. Сергей Каменев

    Благодарю за прекрасную статью. Очень всё подробно, даже слишком. Единственное что мне не удается реализовать, так это пункт Local Forwardung, если его включить то происходит следующее:

    Прикрепленный файл:

    1. Андрей Торженов Автор записи

      CAPsMAN создан, что бы централизованно управлять всеми точками Wi-Fi (CAP).

      Вы можете запустить скрипт на CAPsMAN и выполнять в скрипте команду:

      /caps-man security set security1 passphrase=yourNewPsk

      Где security1 — ваш профиль с настройкой безопасности.

      После этого, автоматически на всех CAP’ах пропишется новый PSK.

  3. Aleksandr Gribanov

    Добрый вечер.

    При настройке AP на CCR
    прибег к vlan-ам
    В datapaths
    прописал vlan21 use tag — см вложение — https://yadi.sk/i/hU9CGCTs3EAcBe
    Все подключающиеся пользователи получают от DHCP адреса согласно влану.

    Тут все хорошо.

    В настройках точек САР выставлено так см вложение

    если выключить САР на АР то точка доступна по сети и я на нее могу подключится, стоит вкл САР на точки доступа, по кабелю я вижу только шлюз, а при попытке подключится к точкам, узнав их ИП или МАС через шлюз. Я уже ни как не могу подключится.

    Если же выключить САР на точках, то все ок. Они становятся доступны и можно подключится к ним.

    На точках есть бридж — и в него добавлены как wlan-ы так и ethernet, но я не думаю, что проблема в этом.

    Еще вопрос: Можно ли через Сарsman настроить белый список?

    Прикрепленный файл:

    1. Андрей Торженов Автор записи

      C VLAN вам не помогу, пока не было необходимости использовать VLAN на Микротик. Я его использую дома и в связи с этим нет нужды в сложных топологиях. Основная моя работа связана с другим оборудованием (Cisco, Avaya, HP и т.д.), в нём я более компетентен.

      Что вы имеете ввиду под белым списком? Что бы доступ к Wi-Fi был только по определённым MAC адресам, а остальным запрещено?

      1. Aleksandr Gribanov

        Да, фактически нужно отсекать всех кто не в белом списке.
        Пока добавляю в Ассеss лист по MAC-y устройства, потом я так понял одним делаю access другим drop(reject), но встает проблема так как итнерфейс можно выбрать только один, а ставить блок на все мне не надо, так как есть гостевой интерфейс.

        1. Андрей Торженов Автор записи

          Сейчас нет возможности проверить. Можно попробовать так:

          Создаём AL правило для SSID GUEST, разрешающее доступ в сеть нужному MAC:

          /caps-man access-list add ssid-regexp=GUEST mac-address=01:02:03:04:05:06 action=accept

          Создаём второе правило AL для SSID GUEST, блокирующее всем доступ в сеть:

          /caps-man access-list add ssid-regexp=GUEST mac-address-mask=00:00:00:00:00:00 action=reject

          Данное правило всегда должно быть последнее в списке!

          1. Aleksandr Gribanov

            Добрый вечер, если я правильно понял, то данное действие приведет к такому результату:

            if хоть один мак присутствует в списке then accept else reject?

            Я проверю, отпишусь.

          2. Андрей Торженов Автор записи

            Да именно так.
            Я сейчас всё проверил у себя, работает.
            Немножко подкорректировал команды:

            /caps-man access-list
            add action=accept disabled=no mac-address=28:87:96:93:79:B9 ssid-regexp=CRUX
            add action=reject disabled=no ssid-regexp=CRUX

            В логах, при попытках подключения не прописанных в белом списке клиентов, будет следующее:

            20:47:48 caps,info 18:CF:5E:AD:CA:4F@cap1 rejected, forbidden by access-list

  4. sskiller

    Всем привет. Есть вопрос по сару. Настроили на двухдиапозонке капу. Магистраль по 5Ггц а сам капман на 2Ггц.
    То есть, без проводов. Как считаете этот конструктор по стабильности?
    Видал один раз капу намутили на одном вифи интерфейсе в 5Ггц и много вланов, конфиг не скинул жаль. Тоесть там магистраль работала в 5Ггц а эзернет вешался на ип камеры. точки были какие то sxt.

  5. buran

    Отличная статья, но хотелось бы спросить, если один микротик подключен к другому по кабелю через PoE in/out настройки аналогичны?

    И второй момент если к клиенту capsman подключить кабелем к примеру пк, то он увидит клиента который подключен кабелем к самому capsman?

      1. buran

        Может я что-то настроил не так, но суть такова.

        Контроллер микротик имеет внутреннюю адресацию 192.168.0.0, соответственно шлюз для сети этого микротика 192.168.0.1

        В порт poe out (5) я воткнул второй микротик, у него адрес этого интерфейса 192.168.0.204.
        Но внутренний dhcp сервер раздает ip адреса сети по умолчанию 192.168.88.0.

        Как мне сделать лучше, чтобы клиенты точки доступа были в той же сети, что и контроллера? Прописать на втором микротике dhcp сервер первого контроллера и отключить существующий dhcp сервер точки или существует еще какой то способ? Или необходимо объединить порты на втором микротике в один бридж?

        1. buran

          Сам же и отвечаю) на втором микротике отключил DHCP сервер, первый входящий порт poe in сделал мастером и все порты объединил в один бридж.

          1. Андрей Торженов Автор записи

            Да… Так и делается обычно… Контроллер является и шлюзом в интернет (nat/fw) и dhcp сервером… а все остальные CAP просто раздают wifi (на них выключено всё лишнее и DHCP сервер тоже) и обеспечивают ethernet интерфейс, если нужно.

            Но конечно топологий сети и вариантов настроек намного больше, то, что описал выше это типовое решение.

  6. mrrc

    Спасибо за труд, одна из самых подробных и развернутых статей по обсуждаемой теме.
    Настроил в точности по приведенному руководству, все функционирует на тестовом стенде.
    Заметил следующее:
    1. При отключенном Client To Client Forwarding один из подключенных к точкам узлов продолжает пинговать подключенного «соседа». По идее, в этом случае подключенные к точкам устройства должны быть изолированы друг от друга полностью?
    2. Если точек будет больше, скажем четыре-пять, разделить на индивидуальные частотные каналы также рекомендуете по аналогии со статьей?
    3. Было бы интересно увидеть статью в вашем исполнении о поднятии Slave-конфигурации и прикручивания к ней Hotspot-а. Ведь CAPsMAN с HotSpot-ом вещи совместимые?

    1. Андрей Торженов Автор записи

      Пожалуйста! Приятно что кому-то пригодился мой труд.

      1. На версии ROS 6.38.5 при выключении Client To Client Forwarding ping’и между клиентами пропадают, только что проверил. Для примера мой конфиг:

      /caps-man datapath
      add bridge=BRIDGE-LAN client-to-client-forwarding=no local-forwarding=no name=datapath1

      2. В моей статье приведён сложный вариант провижининга (настройки) CAP’ов. Каждой CAP выделяется свой индивидуальный непересекающийся частотный канал. Это актуально, когда большая плотность установки WiFi точек доступа, они видят друг-друга и много wifi клиентов. Что бы точки доступа не мешали друг-другу, нужно их разносить на разные непересекающийся частотные каналы (для примера, если это 2Ghz диапазоны, то каналы будут 1-6-11). Если сеть wifi и нагрузка небольшая и точки доступа (CAP’ы) не видят друг-друга, тогда можно особо не заморачиваться и в Channel не указывать частоту канала (и тогда можно сделать один Channel для всех CAP’ов), Mikrotik во время привижининга CAP’ов сам выберет наименее загруженный канал.

      Для построения качественной WiFI сети,в любом случае, необходимо производить радиоразведку, делать предварительные расчёты зоны покрытия, продумывать где будут размещаться CAP’ы (точки доступа), на каких они буду частотных каналах и будут ли они мешать друг-другу.

      3. Пока не приходилось на Mikrotik настраивать HotSpot, так что подсказать не могу. Настроить slave конфигурацию не проблема, делал это, но без hotspot’а. Если когда будут настраивать, опишу эту поцедуру.

      1. mrrc

        Благодарю, Андрей!
        Касаемо изоляции между собой подключаемых клиентов — перепроверил, связь почему-то остается.
        Конфиг и версия ROS идентичные у нас с вами.

        /caps-man datapath
        add bridge=bridge2 client-to-client-forwarding=no local-forwarding=no name=datapath1

        Что с local-forwarding=no, что с local-forwarding=yes.

          1. mrrc

            Еще раз перепроверил, действительно изоляция работает только в рамках одного капа независимо от значения local-forwarding, более того, если САРы двухдиапазонные, то только в пределах одного радиомодуля, т.е., например, когда два клиента подключены к одному и тому же САРу на 2.4GHz — изоляция работает. Если же один сел на 5Ghz, а другой на 2.4GHz, то изоляции нет и в пределах одного CAPа.
            Было бы неплохо, чтобы кто-то перепроверил сказанное на своем оборудовании.

          2. Андрей Торженов Автор записи

            Это логично и как мне кажется правильно.

            Задача изоляции wifi клиентов стоит в том, что бы уменьшить паразитный трафик в одном частотном радиоканале, это важно, т.к. один частотный канал делится между всеми клиентами, это общая среда передачи, что приводит к коллизиям, снижению скорость, потере пакетов и т.д.

            Если стоит задача изолировать всех клиентов между собой на всех радиомодулях и CAP’ах, для этого есть фильтры в бридже или файрвол.

      2. Denis Chashin

        Добрый день!
        » Если сеть wifi и нагрузка небольшая и точки доступа (CAP’ы) не видят друг-друга, тогда можно особо не заморачиваться и в Security не указывать частоту канала (и тогда можно сделать один security для всех CAP’ов)»

        Опечатка? Не Security, а Channel.

  7. mrrc

    Изоляция всех подключаемых клиентов между собой тоже может быть полезна в определённых случаях, когда этим пользователям ну никак не нужно иметь какой-либо доступ к подключенным устройствам своих «соседей».
    Пока глубоко не тестировал, ограничение сделал в бридже:

    /interface bridge filter
    add action=drop chain=forward in-bridge=bridge2 out-bridge=bridge2

  8. mrrc

    Касаемо нового комментария в описании настройки по сообщениям в логе контроллера

    caps,info 28:FF:4E:BD:CA:4F@cap3 disconnected, group key timeout

    Указанное значение group-key-update=1h добавлено, но на наличие записей в логе это никак не повлияло, впрочем статистики по стабильности работы подключений у пользователей пока тоже еще не наработано и носят записи информативный характер или реально сигнализируют об отваливании связи у подключенных клиентов — пока сказать не могу.

      1. mrrc

        Насколько минимизирует? В вашем случае после внесения значения group-key-update=1h клиентские устройства по факту стали отключаться реже по описанной проблеме?
        У себя я вижу, что сообщения в логе реже не стали, но и пока явных жалоб на сбои в работе не поступали (может это только пока, времени мало прошло с момента развертывания комплекса и пользователей мизер еще).

        1. Андрей Торженов Автор записи

          У меня маленькая сеть. Сообщений стало меньше.

          Если поискать на forum.mikrotik.com, то видно, что данная проблема часто (но не только!) возникает с iPhone когда они засыпают. Насколько я понял, свойственно это определенным версиям iPhone/iOS.

  9. Abriel Lafiel

    День добрый! Такой вопрос — настроил 2 provisioning, 1 для 5ггц другой для 2.4.
    Срабатывает только один при включении точки в cap mode при помощи зажатия reset (wlan2 на точке не получает настройки и не становится под capsman)
    Если зайти на точку и вручную включить для него cap — все хорошо.
    Не сталкивались с такой проблемой?
    Очень не хочется конфигать вручную, хотелось бы масштабируемое решение…
    точки wap ac

    1. Андрей Торженов Автор записи

      Нет, не сталкивался. Я всегда вручную прописывал адрес CAPsMAN на CAP.

      Когда первый раз настраивал двухдиапазонные точки, были проблемы когда неверно указал hw-supported-modes, тогда второй диапазон не настраивался… Но я так понимаю, это не ваш случай.

      1. Abriel Lafiel

        Не покидало сомнение, что это связано с hw-supported-modes, но! Если я вручную включаю caps на 5ггц интерфейсе, то все работает…

        Есть еще мысль о том, что апшки привязываются по маку eth1 и provisioning не выполняется для одного и того же мака дважды. Как проверить — не знаю.

          1. Abriel Lafiel

            add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
            xdd5 name-format=prefix name-prefix=lenin5- slave-configurations=\
            lenin-5G
            add action=create-dynamic-enabled hw-supported-modes=b,gn master-configuration=\
            xdd2 name-format=prefix name-prefix=lenin2- slave-configurations=\
            lenin-2G

          2. Андрей Торженов Автор записи

            Может стоит попробовать для теста, сделать простую конфигурацию, с одной master конфигурацией? Протестировать и посмотреть на результаты.

            Вот мой провиженинг для wap ac, но я не пробовал настраивать CAP через кнопку, сам настраивал IP адрес CAPsMAN.


            /caps-man provisioning
            add action=create-dynamic-enabled hw-supported-modes=ac,an \
            master-configuration=cfg_5g
            add action=create-dynamic-enabled hw-supported-modes=b,gn \
            master-configuration=cfg_2g

          3. Abriel Lafiel

            попробовал на одном мастер конфиге с 5ггц без слейвов — та точка, что была вручную сконфигурирована — поднялась, остальные — появились как cap1 cap2 (у меня — префиксы должны были быть) и без сети, со статусом MB.

          4. Abriel Lafiel

            посетила меня тут одна мысль — проблема в дефолтном конфиге.
            Попробовал следующее:
            — при старте держим 5 секунд для сброса конфига — в итоге видим 2 сети с последними символами мака.
            — перетыкаем, держим 10-12 секунд, точка уходит в CAP и появляется с 2 сетями! Жесть какая-то, попробую сейчас с другими точками тот же фокус для закрепления.

          5. Abriel Lafiel

            Все-таки что-то с конфигом у них было (который default).
            Попробовал со второй точкой (новая, достал с коробки)
            Первым делом вогнал ее в cap через кнопку — поднялась только 2.4 сеть
            Сделал ресет, повторил с cap — поднялись обе сети.
            Есть подозрение что в конфиге идет 5ггц сеть отключенной.
            Но факт — после сброса с кнопки работает.
            Осталось разобраться как еще в довесок передавать настройки не связанные с wifi (устанавливать пароль администратора на точках как минимум).

  10. Андрей Рыжов

    Обязательно ли создавать бридж для Capsman?Не до конца понимаю какую функцию он выполняет… Если к примеру я на интерфейсе создам 2 vlana, затем в настройках datapath укажу vlan id не будет ли это удобней?

    1. Андрей Торженов Автор записи

      Не совсем понимаю о чём вы…
      В данном случае бридж используется для объединение всех CAP на втором уровне. Думаю возможны и другие варианты настройки, всё зависит от требования. В моём случае описана настройка с бриджом.

    1. Андрей Торженов Автор записи

      Здравствуйте!

      Не могу ответить… Нужно учитывать много факторов:
      * Понимать какой будет тип трафика от пользователей (торрент, iptv, voip или просто серфинг в инете с проверкой почты).
      * Какая скорость будет выделяться пользователям.
      * Какие уровни сигнала будут от пользователей.
      * Какие частотные диапазоны.
      * и т.д. и т.п.

      Вам лучше задать данный вопрос тут: http://forum.nag.ru/index.php?/forum/56-mikrotik-wireless/

      1. Vitaly Kravchenko

        просто серфинг с почтой, скорость зарезана будет
        по диапазонам будут оба использоваться
        и на этих точках будет только wifi, без дополнительного подключения кого то к портам

        вообще интересно потянет 50 подключений (1точка) или надо будет еще докупать

          1. Андрей Торженов Автор записи

            Сложно мне ответить. У меня на них было может 15 пользователей… Нет опыта с большими инсталляциями на данном оборудовании.

            При небольшой нагрузке думаю проблем не будет, а если все будут торрент качать… где много маленьких пакетов, то проблемы могут быть.

            Да и думаю есть смысл ограничить пользователей по уровню сигнала, но тут могут быть проблемы на старых ios.

  11. mrrc

    Андрей, еще раз спасибо за статью, все структурировано, хоть некоторые моменты и не были озвучены, но это уже дело практики и опыта эксплуатации, наверняка по вашей статье с ноля была настроена не одна сотня контроллеров.
    Вопрос к обсуждению у меня касаемо ширины канала в 5G диапазоне. Если мы хотим использовать на точках три (по аналогии с 2,4G) непересекающихся канала, но каждый с шириной до 80МГц, то по моим расчетам это будут частоты 5180 в Сеее, 5240 в Сеее, 5300 в Сеее, т.е. каналы 36 (5180-5240), 48 (5240-5300), 60 (5300-5520) или в данном случае будет пересечение всех трех каналов, никак не могу сообразить?
    И у вас выше в сноске с описанием расчета ширины каналов неточность, Cee или eeC (во всяком случае, на данный момент) нет, для поддержки 20/40/80МГц служит Ceee, eCee, eeCe, eeeC.

    1. Андрей Торженов Автор записи

      Спасибо за отзыв и спасибо за замечание про Cee, исправил!

      Насчёт частот. В вашем случае, если я ни чего не путаю, один канал 5Ghz на 80 Mhz будет занимать с 36 по 48 включительно! Т.е. следующий канал будет с 52.

      В аттаче к комменту схема распределения каналов.

      Прикрепленный файл:

      1. mrrc

        Спасибо, эта схема расклалки по каналам меня и смутила.
        Следуя ей, в вашей статье создаваемые каналы на 40Мгц для 5 Ghz также пересекаются.
        В случае двух каналов по 40МГц — это с 36 по 40 и с 44 по 48 включительно.

        1. Андрей Торженов Автор записи

          Да, вы правы. У меня ошибка.
          Когда в лабе создавал данную схему для написания статьи, сначала использовал 20Mhz, потом перевел на 40, а частоты не поменял.
          Я внесу поправку в статью, но считаю, что это не критичная ошибка, т.к. она рассказывает как настраивать CAPsMAN, а не как проводить радиопланирование.

          Еще раз спасибо за замечание!

  12. Viktor Gorbachev

    Как поднять CAPsMAN на прошивке 6.41rc?
    На более ранних версии все настраивается и работает отлично. На версии 6.41rc не заработал.
    Нужно именно на этой прошивке, почему не спрашиваете. Знаю что она на бета тестировании.
    RouterBOARD 951G-2HnD
    CRS109-8G-1S-2HnD

  13. Dmitry Dvonk Korneev

    Спасибо за труд, очень помогли.
    Вопрос — есть ли инструкции, как в подобной системе на основе CAPsMAN организовать guest wi-fi в самом привычном ее понимании — доступ только в интернет.

    Спасибо!

    1. Андрей Торженов Автор записи

      Пожалуйста!

      Статьи готовой нет…

      Если стоит задача для гостевого SSID сделать доступ только в интернет, то можно создать отдельный bridge для гостей, к нему привязать гостевой DHCP сервер со своей IP сетью для гостей, а дальше уже в Firewall запретить доступ гостевой IP сети везде кроме Интернет…

      Созданный bridge привязывается к datapaths который будет использоваться для гостевой SSID.

      Это как один из вариантов… Также можно сделать с VLAN’ами.

      Ниже ссылки с материалами с MUM. В них описаны похожие задачи. Там есть примеры конфигураций.
      https://2keep.net/presentation_4701_1508319982
      https://2keep.net/presentation_2709_1444122809

          1. Dmitry Dvonk Korneev

            Наконец-то дошли руки до гостевой сети. Сделал на контролере capsman еще один бридж, завел на нем dchp со своим пулом адресов 192.168.89.0/24, завел правила в файерволе (запртетить из гостевой доступ к основной и наоборот), добавил маскарад в nat для этой подсети, создал новый rout — все вроде сделал.
            На capsman поднял конфигурацию гостевую с новым бриджом в datapath с отключенным local forwarding.
            В итоге — гостевая сеть поднялась, раздает ip адреса в подсети 192.168.89.0, но доступа в инет нет.
            Что интересно, что адреса в основной сети раздаются с начала пула, а в гостевой почему-то с конца — типа 254.
            При этом изнутри микротика железка в гостевой сети не пингуется, а если она в основной сети — то пингуется (кое-как, но все-таки).

          2. Dmitry Dvonk Korneev

            Да, примерно что-то в этом духе и сработало. Отключил правила — заработало без ограничений доступа из гостевой в основную сеть, включил их опять — и заработало уже как надо, с ограничениями. Что это было — «уму не растяжимо» (С)
            Кстати, после того как поднял систему с контроллером и 3 CAPами, уткнулся в другую проблему — wi-fi клиенты постоянно отваливались от интерфейсов, в логах было полно записей типа «4-way handshake timeout». Проблема довольно часто обсуждаемая, но курение интернетов особого результата дала — кто-то пишет, что это мол наследственная болезнь взаимодействия Микротиков и Apple (но отваливались и ведроиды), у кого-то исправлялась ошибка в момент апгрейда RouterOS, кто-то отключал rts cts и все в таком духе. У меня вылечилось установкой Hw. retries до 7 (другие значения не пробовал), полет стабильный.
            Частоты для CAPов вообще не указывал в конфигурациях CAPSMAN, он их сам раскидывает по каналам. Правила в Access List сначала создал, но потом убрал, пока и без них вполне себе незаметно перекидывает клиентов от точки к точке, пока перемещаешься.

          3. Андрей Торженов Автор записи

            Хорошо что всё заработало!

            Про «4-way handshake timeout» спасибо, учту если столкнусь с такой проблемой.

            На тему Access List… Да, я их тоже создавал, но отключил. Это больше костыль для старых wifi чипов, которые держались до последнего на AP и их нужно было принудительно отбрасывать. Сейчас, с новыми wifi подобные проблемы редко наблюдаются…

  14. Andrey

    Андрей, добрый день. Есть настроенный capsman на 2х hap ac lite, необходимо подключить еще один без проводов по 5 GHz. Подскажите пожалуйста вариант подключения.

    1. Андрей Торженов Автор записи

      Здравствуйте!

      Можно вывести радиомодули на 5ггц из под управления CAPsMAN и использовать их только для организации соединения точка-точка между двумя MT (радио мост).
      В этом случае у вас не будет 5 ггц для клиентов (точнее будет, но только на одном из трёх MT).
      Радиомост в этом случае настраивается как обычно (CAPsMAN не используется).
      Пример: https://lantorg.com/article/nastrojka-mikrotik-dlya-soedineniya-tochka-tochka

  15. Слава Лухманов

    Огромное спасибо за статью! Настолько подробную и простую, что я наконец-то почти понял Mikrotik! 🙂 Вы проделали огромную работу (радует обилие и скриншотов и терминальных команд), спасибо за титанический труд! И очень здорово, что информация актуальна — последние уточнения и обновления. Статья живет и пополняется, а не морально устаревает, как бывает на просторах интернета по истечении пары лет/месяцев… Mikrotik — очень крутая штука, и постоянно что-то новое они допиливают/обновляют/внедряют. Полюбил их оборудование и ROS с первого опыта общения. Очень здорово, что есть такие люди как вы, которые разжевывают сложные моменты нам — простым обывателям 🙂
    Еще раз спасибо за статью! Добавлена в закладки, отправлена другим админам/любителям, ресурс однозначно ценный, будет регулярно посещаться в будущем!

  16. Sobalich

    Здравствуйте, Андрей!

    Подскажите, пожалуйста, некоторые нюансы настройки RB962UiGS-5HacT2HnT и RBwAPG-5HacT2HnD. Первый раз настраиваю такое оборудование. Версия прошивки 6.41.4 на обоих.
    Я так понимаю что пакет wireless-cm2 называется теперь wireless.
    1. Я получай внешний IP по кабелю от DHCP провайдера соответственно автоматически. В настройках по умолчанию ether1 не входит в бридж т.к. как я понимаю это порт WAN. В вашей статье его предлагается включить в бридж, но в это случает как будет организовываться роутинг или у вас другой случай?
    2. В конце настройки при передачи управления CAPsMANу требует включить сертификаты. После включения вайфай отрубаеться полностью.

    1. Sobalich

      Дополнение.

      При передачи управления wlan CAPsMAN (Lock to CAPsMAN) если поле Certificate оставить NONE то выдает ошибку «Could`t change CAP- can not to CAPsMAN whitout certificate (6)

      Если в CAPsMAN сертификати выставить его в Wireless при привязки к CAPsMAN-у nj wifi просто отключается в интерфесах и при попытки включить выдает что интерфейсами управляет CAPsMAN.

      1. Sobalich

        Вы не поверите. 🙂 Все заработало после того как на RB962 я активировал режим CAPsMAN кнопкой. (включай в сеть и держи 10 секунд).
        При подключению через winbox выдало окошко которое мне сообщило что устройство работает с режиме CAPsMAN.

        О майн гот 🙂

  17. Sobalich

    Новая проблема CAPSMAN заработал, но теперь клиенты не получают IP.
    Пытался в разделе IP настроить DHCP ничего не изменилось.
    Где это настраивать?

    Спасибо большое за ответ и за статью!

      1. Никита Иванов

        Андрей, спасибо за статью. Нашел тут немного объяснения некоторым терминам.
        Перевел недавно офис с Unifi на CapsMan — глюки софтового unifi окончательно расстроили. А cloudkey покупать не хотелось. Часто использовали микротики в качестве роутеров в удаленных офисах (впн), решили потестить CapsMan и пока не жалеем.

        Вопрос пока не решен один: как вешать точки доступа RBwAPG-5HacT2HnD ?
        Под потолок? на уровне головы? На стене? Интересна физика работы антенны в этих точках.
        Куда они должны быть направлены? Куда идет основное излучение? Или это совсем не важно?

        Боюсь что если повешу вниз головой как тарелки Unifi — сигнал будет уходить в пол и частично терять силу. А если направить ее куда-нибудь то каков сигнал будет сзади?

        1. Андрей Торженов Автор записи

          В даташите на данную точку указано, что антенна имеет диаграмму направленности 360 гр, т.е. она всенаправленная. Вешать можете как угодно (в даташите показано что монтировать AP могут как вертикально, так и горизонтально).
          Даташит прикрепил к комментарию.

          А что не так с unifi ? Какие были проблемы?

          Прикрепленный файл:
           wAP_ac-170405141014.pdf

          1. Никита Иванов

            Спасибо!

            Проблемы были с серверной частью, установил как службу, постоянно глючит, висит, нагрузка -100 юзеров в среднем. около 8 точек. Постоянно зависали точки, приходится ребутать, причем есть сеть, а инета нет. Рестарт помогает. Само все глюченное, вебка постоянно висла.

          2. Андрей Торженов Автор записи

            Понял… С юнифи работал, но в небольших масштабах… Буду учитывать.
            Ставил с cloudkey, не висло… но там совсем маленькая нагрузка была.

  18. Никита Иванов

    я уже не раз сталкиваюсь с софтварным unifi — воз и ныне там, работает очень плохо.
    версии последние всегда были. И дела как раз в нагруженности, точка зависает. У меня были точки и обычные 2.4 и Про (2 диапазонные).
    еще заметил что выгорают светодиоды индикации после 1-2 года работы. такое ощущение что точка дохлая, ан нет, работает.

  19. 1magic

    Спасибо огромное за статью. Благодаря Вам я стал пользоваться Микротиками.
    Но вот возникла необходимость настроить бесшовный роуминг в 2-х этажном доме. Настроил по вашей рекомендации на 3-х Микротиках 952Ui-5ac2nD. Все они соединены проводами. Используется RouterOS 6.41.2.
    На каждом сделал разбивку по частотам. CAPsMan на 1 канале, CAP2 на 6-м, CAP3 на 11-м. CAPsMan и CAP2 стоит на первом этаже в разных углах, CAP3 — на втором этаже примерно посередине. Поначалу все более-менее работало. Не всегда вовремя переключалось (видимо тянулся сигнал с другой точки). Проблема в том, что стены толстые с арматурой и соединение с WiFi еще есть, а сайты уже не открываются.
    Через недельку стало совсем печально — чтобы подключиться к точке необходимо было вручную её найти и выбрать подключение (т.е. сигнал пропадал и не подключался автоматически к другой точке, хотя я стоял рядом).
    Игрался с параметром access-list — ставил как Вы рекомендовали, потом ставил -74..120, затем наоборот -84..120 — не помогает.
    Во вложении конфиг CAPsMan, может быть подскажите, как это победить?

    Прикрепленный файл:
     Config-MikroTik-CAPsMAN-router.zip

    1. Никита Иванов

      Не обязательно делать распределение каналов и отключение по слабому сигналу. Это адаптация для старых прошивок.
      Скорей всего, в Вашем случае, дело в непродуманном покрытии и слишком сильном излучении сигнала. Уточните свои модели устройств. Сделайте децибеллы на 50% от даташита устройств, нарисуйте схему сети с этажностью здания и толщиной стен. Практика показывает что сигнал хреновеет даже от одной стеклянной двери.

  20. 1magic

    Все 3 устройства 952Ui-5ac2nD. Ставил на 1-м этаже по центру один роутер в пределах соседних комнат сигнал был нормальным. Через одну комнату уже сигнал почти пропадал — роутер еще пинговался, но сайты уже не открывались. Поэтому разнес 2 роутера в разные стороны дома (противоположные) и 3-й на втором этаже по центру дома. Проблема и с телефоном и с планшетом. С ноутбуком еще не тестировал.
    Значит access-list по уровню сигнала можно отключить? Попробовать уменьшить уровень сигнала на всех устройствах?

    1. Никита Иванов

      По практике могу сказать — 1 перегородка, 1 стена и уже нет стабильного сигнала. Особенно если закрыть дверь, а дверь из стекла или картона. 2.4 еще пролезет, а вот 5.0 нет, ибо физика.
      Так что очень сложно сделать (и дорого) покрытие в каждом закоулке дома. Увеличение мощности не поможет, у данной модели мощность до 22 дб. Можете поиграться с 10..22.
      разносить в разные концы дома идея так себе — роутер транслирует одинаково вокруг себя, т.е. если распределить их по концам дома то жарить он будет с одной стороны только стену на улицу. И полезное покрытие уменьшается. Имеет смысл тупо в каждую комнату купить по данному роутеру или тарелочке определенного диапазона (подешевле), понимаю что жаба душит — но иначе в муравейнике из комнат нельзя.

      В офисах проще — повесил в коридоре или опенспейсе под потолок и ок.

      На мобилках и планшетах слабые передатчики вифи, я обычно еще тестирую с ноутом. Там где телефон плохо берет — ноут еще тянет. Но тут уже смысла нет, т.к. читай выше.

      access-list это костыль для старых прошивок. сейчас это уже не актуально.

      надеюсь у вас все cap-ы по ethernet-у подключены? не репитеры?

      1. 1magic

        Спасибо за советы!
        Все CAPы подключены по ethernet. Поставил последнюю прошивку. Убрал access-list, убрал ручное разнесение по каналам. Стало работать стабильнее. Но теперь немного другая проблема нарисовалась — захожу в комнату с CAP2, сигнал тянется еще от другого CAP1 от -83 до -91 децибел. Интернет естественно уже не работает. Секунд через 7-10 клиент переключается на местный CAP2. В принципе не особенно критично, но если в этот момент разговариваешь по Skype/WhatsUp/Viber, то звонок прерывается. У меня конфигурация с включенным Local Forwarding. Может убрать его?

        1. Никита Иванов

          Local forwarding уберите. access list-ы в случае с старыми девайсами лучше оставить. Как и пишет автор статьи.

          Я еще протестирую данные пункты на своих пользователях. Система уже на бою, 70-100 человек на трех кап-ах

        2. Андрей Торженов Автор записи

          Решение о переходе с AP на AP принимает ТОЛЬКО мобильный клиент. Точка доступа ни как не заставит Wi-Fi клиента перейти на другую AP (в этом не поможет даже 802.11r/i/k и др).

          Точка доступа может только «сбросить» клиента с AP, НО! клиент дальше сам принимает решение куда ему подключиться!

          Самое важное, что следует понять про роуминг (хендовер) на wifi:

          wifi клиент полностью контролирует переход от AP к AP, wifi клиент сам принимает решение когда и к какой точке доступа ему подключаться… AP, используя протоколы 802.11r/i/k (если они поддерживаются), может рекомендовать клиенту куда лучше переключиться, но финальное решение принимает клиент!

          В вашем случае, если мобильный клиент не переключается от AP когда ВИДИТ (видит ли?) другую AP с БОЛЕЕ мощным сигналом, то скорей всего у wifi адаптера кривые драйвера… Тут поможет только access-list созданный только для данного клиента на основе MAC адреса.

          Я немного переписал в статье инфу по access-list’ам, внёс комментарии и дополнение. Почитайте, может что-то новое вычитаете.
          https://2keep.net/mikrotik-capsman-v2-hap-ac-lite/#_Wi-Fi_handover

          В использовании access-list’ов есть ещё одна проблема. Устройства на старых iOS, когда их часто принудительно отключают от Wi-Fi AP, начинают считать эту AP неработоспособной (ну или плохо работающей) и через некоторое время больше к ней автоматом не подключатся. Может данная проблема есть и на других устройствах. Не проверял. Если это так, то в данном случае access-list’ы только навредят… вам придётся в ручную подключаться к своей wifi сети.

          Подытожить думаю можно так:

          1. WiFi точка доступа (и контроллер) ни как не может заставить wifi клиента переключаться на другую AP.

          2. Когда клиент подключён к AP и сигнал от AP падает ниже определенного уровня и в этот момент, wifi клиент видит мощный сигнал с таким же SSID и шифрованием от другой AP, клиент должен переключаться на эту AP.

          3. Если не выполняется пункт 2, то нужно применять для данных wifi клиентов access-list’ы по MAC адресу.

          P.S. Если у вас, ваши AP видят друг-друга, я бы не рекомендовал их вешать на один канал, будут мешать друг-другу, может снизится скорость. Local forwarding лучше выключите.

  21. Никита Иванов

    Потестил с access list, нашел багу что не подключается wi-fi на Iphone 7 пока не разблокируешь. После отключения данной опции — проблема ушла. Прям показательно. Рекомендую отключить для совсестимости.

    1. Андрей Торженов Автор записи

      С продукцией Apple и с iPhone в частности, часто проблемы у разных вендоров (например https://habr.com/post/327166). Apple считает, что только их реализации чего либо, являются самыми верными…

      У Cisco есть некие «улучшения» WiFi сделанные совместно с Apple для оптимизации работы продукции Apple в wifi сетях Cisco.

      Эти улучшения как раз касаются роуминга. Слушал вебинар Cisco, рассказывали красиво, НО!, если в сети используются ТОЛЬКО продукты Apple (iPhone) и свежих версий.

      Думаю вывод тут таков: если строишь wifi сеть для бизнеса и у тебя зоопарк из мобильных устройств, то есть большая вероятность, что какие-то устройства не будут нормально работать и мало того, они будут мешать нормальной работе другим устройствам.

  22. Maksim Gusev

    Что-то у меня трабла какая-то идет. Настроил CAPы на 3-х Mikrotik-ах, но на CAPsMAN появляются только 2 CAP — со 2 и 3-го Mikrotika. Всю голову себе разбил, нашел, что блокирует: у меня стоит правило на Firewall: input, которым отправляю в drop все лишние пакеты (кроме ping, dns, VPN и WinBox со внутреннего порта). Как только это правило выключаю — тут же появляется CAP с головного устройства. Включаю — CAP пропадает. Т.е. надо что-то разрешить перед этим правилом, но что? Подскажет кто?

    1. Андрей Торженов Автор записи

      Да, если фильтруется fw, то нужно прописать правила.

      Рекомендации с форума:

      1. Set CAPsMAN to discover address 127.0.0.1

      /interface wireless cap set caps-man-addresses=127.0.0.1

      2. Open Firewall for CAPsMAN, (Make sure the firewall rule comes right before the default rule whose comment is «drop all not coming from LAN»)

      /ip firewall filter add chain=output action=accept protocol=udp src-address=127.0.0.1 dst-address=127.0.0.1 port=5246,5247
      /ip firewall filter add chain=input action=accept protocol=udp src-address=127.0.0.1 dst-address=127.0.0.1 port=5246,5247

      Источники:

      https://forum.mikrotik.com/viewtopic.php?f=7&t=127517

      https://forum.mikrotik.com/viewtopic.php?t=109377#p553944

  23. Anatoli Zaev

    Добрый день!
    Приобрел hap ac2 и cap ac, т.к. живу в панельном доме, и через пару стен + куча точек доступа поблизости.
    Стремление — повторить то, о чем написано в Вашей статье. Сразу скажу, что с Микротиками никогда не имел дела. Спотыкаюсь на передаче локальных беспроводных интерфейсов под управление CAPsMAN. Я поигрался с правилами для fw, но то ли руки кривые, то ли с головой не дружу.
    Фишка в том, что в логах появляются записи, что CAPsMAN берет интерфейс под управление (дословно не могу привести, на работе), потом — failed, причем, по таймауту. Во вкладке Interfaces строка с описанием интерфейса становится серой, сверху появляется красная надпись managed by CAPsMAN, никаких изменений больше нет.
    Пока писал, подумал, что в настройках CAPsMAN, прописал только каналы (частоты) для точки доступа, 2462eC и 5240eeeC. «Родные» каналы маршрутизатора (2412Ce и 5180Ceee) тоже нужно прописать?

    1. Андрей Торженов Автор записи

      Здравствуйте!

      Без опыта работу с MikroTik и сразу настраивать сложный функционал… будет вам сложно!

      Для начала, отключите ВСЕ правила в firewall на всех Mikrotik’ах. Если заработает, значит разбирайтесь в правилах FW.

  24. Anatoli Zaev

    Мы легких путей не ищем. Разбирались с USRobotics Courier на советских линиях связи, разберемся и с латышскими наворотами. Сейчас просто несколько тороплюсь: в воскресенье приедет жена, а что более страшное преступление: неработающий WiFi или водопроводный кран — даже и не скажу 🙂
    Второй микротик я и не включал. То есть, когда-то включал, убедился, что вижу только его в эфире, а «коренного» вифи нет. Вчера и позавчера занимался рукоблудством с передачей вифи хапа под управление CAPsMAN.
    По поводу отключения правил FW: если я нахожу в таблице на соответствующей вкладке «дроп» правило, кликаю по нему правой кнопкой и говорю Disable, этого достаточно? Если да, то не помогает. Все дропы я отключал, вместо правила «убей не ЛАН» ставил «убей ВАН», попробовал рецепт из этой стать с 127.0.0.1 — no go.
    Сейчас вот думаю, что м.б. я зря жестко фиксировал частоты локального вифи (Frequency Mode = regulatory_domain, Frequency = 2462) и/или не прописал этот же канал в настройках CAPsMAN. Локальный wifi уходит под CAPsMAN со своими настройками, или для него надо тоже каналы создавать? Для 2 ГГц я прописал только 1 частоту (канал) и упомянул ее в конфигурации для точки доступа. Другого канала у CAPsMAN нет, вот он и не знает, что делать с передаваемым ему интерфейсом. Может такое быть?

  25. ITfront

    Настроил по инструкции. Всё заработало.
    Но как-то странно…

    1.
    На RB952, установленных на этажах в роли ТД , wlan интерфейсы после активации CAP так и отображаются выключенными, хотя доп.инфа появилась и WiFi сеть заработала.

    2.
    В списке CAPsMAN`а на главном роутере они отображаются по-разному.

    1. Андрей Торженов Автор записи
      1. Если в datapath стоит local forwarding enable, то интерфейс будет включен (как на скриншотах в этой статье), иначе будет выключен.

      2. У вас там что то много интерфейсов. Часть из них динамически настроены и активны, другие статические и выключены. Вы наверно какие-то эксперименты ставили. Удалите лишнее.

      1. ITfront

        Эксперименты были, но откатился.
        В данном случае лучше опять вывести все три точки из CAPа и перепроверить их настройки, удалить всё с главного роутера из CAPsMAN-> CAP Interface. А после этого заново подключить точки?
        Или ещё что-то ???

        1. Андрей Торженов Автор записи

          Удалить все радиоинтерфейсы в capsman, потом зайти в закладку remote cap, выбрать каждый и нажать provision.

          Все cap должны заново настроиться и появиться динамические интерфейсы (с буквой D).

          P.S.
          В закладке provision настраивается как будут присваиваться имена интерфейсам, какие типы интерфейсов (статические или динамические) и др.

          1. ITfront

            Всё заработало.
            Пока на одном 6-м канале (2,4 ГГц).
            Разбивку по частотам (3 этажа + 3 роутера = 3 разных канала)- на следующей неделе.
            Удалённый доступ к роутеру (основному) есть. Профили и все основные настройки можно сделать заранее.

          2. ITfront

            Настроил 3 канала 2,4ГГц + 3 канала 5ГГц.
            Всё работает.
            Единственное что не получилось довести до идеала — переключение в секторах «наложения» зон двух ТД. Телефон долго сидит на мизерном сигнале, не переключаясь на сильный.

          3. Андрей Торженов Автор записи

            С этим можно бороться только создав Access List с MAC адресом телефона и сбрасывать его с AP по достижению минимального уровня сигнала…

            Это единственное, что можно сделать с такого рода упёртыми устройствами… Но тут могут быть сложности. В некоторых клиентах (например некоторые версии iPhone), если их часто так сбрасывать с AP, начинают эту wifi сеть считать «проблемой» и автоматически больше к ней не подключаются.

  26. Олег Голяков

    Очень полезная статья!

    Настроил пока 3 точки, на каждой по две сети: Work и Guest. На одной из точек еще и Work-5GHz и Guest-5GHz. 2.4 разнес по каналам 1-6-11. Work с доступом в корпоративную сеть, Guest — только в Интернет + сетевые принтеры (гостевая точка во влане, доступом рулит FW). Сам CAPsMAN на CCR-1009. Клиентов пока 30-50. Все работает, клиенты переключаются. Интересно наблюдать, когда человек передвигается а его гаджет переподключается к разным точкам))). Сам пробовал передвигаться со включенным пингом один пакет в пол секунды. Ни один пакет не теряется, ну может 1 из 10 переключений. Вайбер и Ватсап не рвутся.

    В общем все замечательно!

    Но вопрос не в этом, а вот в чем:
    Что означают «магические» буквы и цифры во вкладке «CAPsMAN -> Registration Table -> Tx Rate Set» ?

    Что-то типа «CCK:1-11 OFDM:6-54 BW:1x-2x SGI:1x-2x HT:0-7» ?

    PS. В планах посадить на CAPsMAN хотспоты, особенно где по 7-10 точек, уж очень не удобно при необходимости менять настройки на каждой точке… )

    1. Андрей Торженов Автор записи

      На тему роуминга. Не всегда так хорошо бывает, как у вас 🙂 . Бывают устройства, особенно старые или какие нибудь специализированные, которые ну ни как не хотят переключаться между AP (цепляются за AP из последних сил 🙂 ) или переключаются но с сильной задержкой.

      Как я и писал в статье — качество роуминга зависит от самого клиента, а не AP. Надеюсь с каждым годом, естественным образом будет уменьшаться количество «кривых» клиентский устройств и вопрос роуминга будет практически полностью решён.

      На тему ««магические» буквы и цифры», чуть позже напишу дополнение к статье, где опишу что это значит. Если вкратце, то это очень полезная информация. По ней можно понять какой стандарт wifi используется, какие модуляции, сколько пространственных каналов используется и т.д.

  27. gard area51

    Вышла routerOS 6.44, среди нововведений:

    Т.е. теперь никаких проблем с локальным CapsMAN быть не должно, достаточно обновиться на последнюю прошивку.

        1. Андрей Торженов Автор записи

          точка по вайфаю не раздают

          Что не раздают? Интернет?
          Возможно у вас NAT, Firewall, маршрутизация и т.д. не настроена.

          В статьях про CAPsMAN обычно эти вопросы не затрагивается, т.к. это другая тема.

          Проверьте, правильные ли IP адреса выдаются по DHCP клиентам wifi, есть ли там нужный шлюз по умолчанию, DNS сервера и т.д.

          1. Андрей Торженов Автор записи

            Вы явно в чём то ошиблись… не видя конфигурации сложно судить.
            Возможно вы что-то не верно настроили в бриджах.

            Проверьте всё внимательно!

            По данной статье уже много сетей настроено.

            То, что у вас на роутере с CAPsMAN нет wifi, на работоспособность сети не влияет.

          2. Артур Борисов

            Спасибо вам! Настраивал по другой статье, может и пропустил что то… Теперь буду настраивать по вашей. Если много сетей настроено, то это обнадеживает

          3. Артур Борисов

            А на контроллере нельзя ведь добавить порт, где приходит интернет, в бридж? (в таком случае локально не раздавал интернет, потому выкинул с бриджа) Как ни странно, RB951Ui-2hnd полюбому раздавал на всех интерфейсах.

          4. Андрей Торженов Автор записи

            Интерфейс на который приходит Интернет (WAN) нельзя добавлять в бридж для локальных интерфейсов.

    1. Артур Борисов

      Настроил по вашей статье контроллер RB2011 Ils-In и точку к нему RB951UI-2HnD. В итоге клиент то подключается, то отключается и интернет не получает, стоит на получение адреса, потом только сохраняет SSID, не подключаясь… При этом на главном роутере CAP- интерфейс пересоздается заново, cap1, cap2 и т.д.

      …..RouterOS версии 6.44.1 у обеих

      Прикрепленный файл:

        1. Артур Борисов

          Проверил DHCP и пул адресов… Вроде все норм, как обычно. Пул 192.168.x.5-192.168.x.255, привязан к тому бриджу, где будут подключаться точки доступа. NAT настроен на оут интерфейс WAN, фаервол не настраивал — чист. Все пингуется и т. д. Приложил скрин

          Прикрепленный файл:

          1. Андрей Торженов Автор записи

            Я сократил пул от 255 до 250, хрень какая то, извините, но получилось сопрягать точку с мамкой =I

            Не понял. У вас получилось?

        2. Артур Борисов

          Да. Получилось. Но рано радоваться не могу, так как остались еще три RB951Ui-2HnD. Я то думал максимальное количество адресов от 1 до 255. Тупо снизил так на авось до 250 и странно… Заработало. Т.е. сразу начал проверять адреса (внешние, внутренние, DHCP), как только узнал от Вас, что устройство не получает адрес =)

          Эхх… Еще каналы присваивать каждой точке(( Могу ли я двум устройствам задать канал 1, а двум другим канал 6? Просто они типа не пересекающиеся. Или же лучше выбирать в зависимости от того какой канал наиболее свободен / сделать разными на каждой точке и т.д. В здании у нас две организации, так вот соседняя организация битком забит дешевыми роутерами чуть ли не в каждом кабинете и занимают много каналов

          1. Андрей Торженов Автор записи

            В данном случае IP .255 не может быть, т.к. .255 это broadcast сети, если сеть с маской 255.255.255.0 (/24).

            Лучше каждой точке выделить свой не пересекающийся канал. Но на практике нужно смотреть как будет на конкретном объекте. Обычно где много компаний то весь 2.4ггц диапазон забит и wifi всё равно будет плохо работать. Вариант только на 5 ггц уходить.

  28. Protection

    Андрей, добрый день. В поисках ответа нашел вашу статью. Все очень круто расписано и понятно. За это — большое спасибо. Возможно будет подсказка и для меня.
    У меня hap ac в роли главного и 3 cap ac — по офису. Работают в capsman’e уже давно. Все работало и работало. Пакет от провайдера был 100 мбит. На 5ггц было 90 и горя не было. Но… Понадобилась скорость по-более. Выписали себе 1гбит. И вот начались проблемы. По кабелю — проблем нет, гиговые порты hap ac вытягивают всю скорость (около 400мбит, столько же и напрямую). Но вот ви-фи — нет. Понятно, что CAP AC не будет больше 100 давать, так как включены по PoE (100 мбит). Но от главного хотелось бы больше. В поисках решения: отключил все САРы, сбросил НАР в дефолт. Без capsman’a скорость на телефоне показывает около 300мбит, как только разворачиваю capsman и запускаю его только на НАРе — падает до 100мбит. Подумал, что хватит канала на 400 как раза по 100 на каждую точку. Но нет, запустив спидтест на двух разных конца (подключившись к разным САРам) покажет 50 на каждом. т.е. те 100 мбит выделяется на ВЕСЬ capsman. Игра с каналами, шириной, страной и чейнами ничего не дает.
    Заранее благодарен.

      1. Protection

        САР АС включены восьмижилом через РоЕ инжектор родной, который строит возел НАР ас. В таком случае 2 пары отводятся под питание, 2 под ethernet. А гигу нужны все 8 жил. Разве не так?
        Так до включения capsman’a скорость по вифи есть более 100. Настройки бриджа не меняются при этом. Или речь идет о включении в dataphats? Включение этого режима никак не влияет.
        Кстати. у меня в бридже есть оба wlan интерфейса при включенном capsman’e. Но разве это как-то может влиять на скорость?
        Замечу, что в таблице регистрации устройств отображается скорость их подключения и там приличные цифры — 300-600мбит.

        1. Андрей Торженов Автор записи

          PoE Инжекторы есть на 1G: https://mikrotik.com/product/RBGPOE

          «300-600мбит» — это канальный скорости, а не скорость на которой будет передаваться полезная нагрузка.

          Обновите прошивки да актуальной, в свежих прошивках были какие-то улучшения для wifi 802.11ac.

          Я так понял, что даже когда у вас на HAP AC настроен CAPsMAN и локальный wifi интерфейс на нём зарегистрирован, то скорость тоже ограничивается 100 мбит?

          1. Protection

            Обновлено до 6.44.2 (0 эффекта)
            Я разворачивал capsman ТОЛЬКО на НАР ас и лучшим результатом было — 100.8 мбит, выключал сaps — сразу 300.

          2. Protection

            Андрей, забыл сказать. Включение Local Forwarding помогло. Скорость по вифи достигает 200-300 мбит. Не идеал, но все же лучше. Надеюсь, допилят в будущем.
            Уж не знаю, как это помогло (хоть убейте, но не поверю, что интерфейсу капсмана мало ресурсов для прогонки более 100 мбит, грешу на ПО), но дало результат.
            Благодарю.

          3. Андрей Торженов Автор записи

            Если выключена функция Local Forwarding тогда весь трафик пользователя туннелируется на CAPsMAN (типа VPN поднимается).

            Это требует большое количество ресурсов (инкапсуляция пакетов, шифрования и т.д.). По этому, при отключении Local Forwarding может снижатся скорость и увеличивается загрузка на CPU если процессор слабый.

          4. gard area51

            Также замечал такую «проблему» на простых hap lite. К примеру — всего два устройства. Стоит только отключить «local forwarding», то при запуске мультикаста в wi-fi или даже при тестировании speedtest, нагрузка на роутер, где трудится capsman мгновенно прыгает до 100% cpu. Включение же local forwarding мгновенно «устраняет» проблему. Вот такие пироги.

          5. Protection

            Та я понимаю, что все идет через капс и на нем же захлебывается. Но НАР ас нормальная железка с хорошей начинкой, должно хватать на обработку. Я больше грешу на недоработку RouterOS.

          6. Андрей Торженов Автор записи

            На тему загрузки проца и Local Forwarding: off я ещё давно писал https://2keep.net/mikrotik-capsman-local-forwarding

            HAP AC железка может и мощная… но для организации туннеля на скорость > 100 мбит может не хватать (при выключенном local forwarding как раз туннель и организуется). Но может и глюк, но очень старый.

            Сколько я не смотрел MUM’ов с докладами на тему CAPsMAN, многие для CAPsMAN используют мощные железки типа https://mikrotik.com/product/CCR1016-12G

  29. Александр Князев

    Добрый день.
    Есть пару вопросов.
    Корректно ли обьединять eth0 с остальными в один бридж, имеется ввиду та железка которая смотрит eth0 наружу.

    Можно указать обнаружение capsman на уровне L2 или L3, какой предпочтительней?

    Мы добавляем все интерфейсы в созданный bridge1, может лучше добавить wlan1 wlan2 в bridge1, а модули cap в bridge?

    1. Андрей Торженов Автор записи

      Корректно ли обьединять eth0 с остальными в один бридж, имеется ввиду та железка которая смотрит eth0 наружу.

      eth0 это что за интерфейс? WAN, который смотрит в Интернет? В стандартной схеме нет, его нельзя объединять с локальными интерфейсами.

      Можно указать обнаружение capsman на уровне L2 или L3, какой предпочтительней?

      Всё зависит от топологии вашей сети. Если у вас CAP’ы и CAPsMAN в разных сетях, то L3, в одной — L2. Если сеть большая, то может есть смысл разнести по разным подсетям (L3) для минимизации broadcast трафика (уменьшить broadcast домены)… В общем это вопрос дизайна сети.

      Мы добавляем все интерфейсы в созданный bridge1, может лучше добавить wlan1 wlan2 в bridge1, а модули cap в bridge?

      Не понял вопроса.

  30. John Doe

    привет. как оказалось работающий переход между точками это хорошо. но как оказалось все это не работает если вдруг, внезапно, одна из точек ушла на перезагрузку. потерялось порядка 15 пингов и коннекшн оборвался…

  31. Иван Лемеза

    Добрый день.
    Удачно попалась Ваша статья о CAPsMAN, по прочтению и тестам возник вопрос.
    Тестовая топология:

    RB4011 в роли контроллера и два hAP ac lite в роли точек доступа.
    Хочу использовать local forward для снижения загрузки контроллера и разделения трафика гостей и сотрудников.
    На контроллере поднят один мост br-lan, на котором поднят сервер dhcp (для клиентов по меди)
    В этот мост подключены ТД с статическими ip. На самих ТД создан мост br-lan (все порты, за исключением wlan интерфесов), мосты br-wifi-guest и br-wifi-work (для соответствующих клиентов, эти же мосты созданы на контроллере и прописаны в datapath).
    Пытаюсь настроить гостевую сеть, указывая datapath br-wifi-guest, но клиент каким-то образом получает dhcp и имеет доступ к внутренней сети (стало быть из-за настройки CAP клиента Bridge (6) br-lan )

    Вопрос : для чего необходим datapach, если при указании различных мостов, фактического разделения не происходит.

    UPDATE: перечитал про опции CAP клиента

    Указываем Bridge (6) в который будет добавляться Wireless интерфейс если включен Local Forwarding в Datapath.

    Возник еще больший вопрос — для чего мы указываем bridge в datapath, если в итоге все настройки bridge в режиме local forwarding предопределяются настройками CAP клиента?

    1. Андрей Торженов Автор записи

      Если включен local forwarding, то CAPsMAN не управляет настройкой datapath bridge в настройках CAP.

      Если хотите разделить трафик на гостевой и рабочий, то вам нужно:

      1. отключить local forwaring
      2. на CAPsMAN создать два бриджа br-wifi-guest и br-wifi-work
      3. для каждого бриджа прописать свои сети и dhcp сервер, настроить потом правила FW (что бы между сетями не могли ходить)
      4. создать две wifi сети (рабочая и гостевая) и присвоить им своим бриджы в datapath.

      При этой схеме весь трафик от клиентов CAP будет туннелироваться на CAPsMAN, там фильтроваться, раздаваться dhcp и т.д.

      P.S. Могут быть и другие варианты разделения трафика, vlan например, фильтрация на CAP’ах, но с Local Forwarding, как по мне, так самое простое, хотя и требующая аппаратных ресурсов на CAPsMAN.

      1. Иван Лемеза

        Не очень очевидно такое поведение при включенной опции local forwarding, спасибо за ответ.

        Насколько понимаю еще возможно включить local forward по следующей схеме:

        1) Создать мосты br-wifi-guest и br-wifi-work на самих AP, на практике сеть br-wifi-work может быть объединена с br-lan, т.к. AP подключена напрямую в рабочую сеть
        2) Вручную соотнести wlan интерфейсы в нужные мосты, поднять dhcp на br-wifi-guest, настроить forwarding из br-wifi-guest до шлюза с запретом пакетов в br-lan.

        Очевидно что в таком случае пользы от CAPsMAN становится не так много, но все же имеем центральное управление основными параметрами.
        P.S. схема описана для понимания routeros, т.к. читая материалы вижу, что одни и те же вещи возможно реализовать совершенно разными путями.

        Во всех статьях, связанных с CAPsMAN, пишут о потреблении аппаратных ресурсов без local forward, поэтому и возникают идеи его активации.

        1. Андрей Торженов Автор записи

          «…поднять dhcp на br-wifi-guest…»

          Поднять dhcp где? На каждом CAP? Тогда вам придётся поднимать отдельный dhcp сервер на каждом CAP.

          Тут главное понимать, что bridge, это как отдельный физический коммутатор (я конечно упрощаю).

          Например если вы в bridge1 объединили eth1 и eth2, а в bridge2 объединили eth3 и eth4, то получается, что eth1, eth1 и eth3, eth4 как бы физически в разных коммутаторах.

          Да, в ROS можно многое сделать разными путями в этом гибкость и сложность для начинающих.

          Да, CAPsMAN c Local Forwarding: off требует дополнительных аппаратных ресурсов (т.к. происходит инкапсуляция пользовательского трафика от CAP в туннели и в дальнейшем его обработка), но и сам MT не особо то и дорогой, можно себе позволить купить для CAPsMAN отдельную железку.

          Например hEX RB750Gr3 (https://mikrotik.com/product/RB750Gr3 ) за 60$ вполне мощная железка, но конечно нужно смотреть какой трафик, сколько пользователей, сколько CAP и т.д.

          Да и уже имеющийся у вас RB4011 мягко говоря неслабый.

  32. gard area51

    Здравствуйте!
    Кто-то сталкивался с подобным статусом интерфейса точки на контроллере?
    Точка при этом работает, клиенты подключены. Я так понимаю это сообщение о несоответствии регуляторного домена на контроллере и точке, на контроллере установлено «russia», на точке такой пункт также доступен.

        1. gard area51

          Помог совет с forummikrotik.ru
          Нужно отключить точку от контроллера, нажать «reset configuration» в настройках беспроводного интерфейса, и снова ввести точку под управление контроллера.
          Надпись пропала.

          1. Андрей Торженов Автор записи

            Да, частый совет, что если что-то в Wi-Fi работает не так, как ожидается, то стоит сделать Reset…

            Спасибо за информацию, буду иметь ввиду.

  33. Anton To

    Отличная и актуальная статья. Пожалуй лучшая на тему CAPsMAN. И вот мысли:
    Если CAPsMAN и точка CAP находятся в разных подсетях (каждая со своим DHCP), то:
    — при включенной local forwarding при переключении с одной AP на соседнюю будет приличная задержка из-за обновления DHCP и порвутся коннекты из-за смены IP адреса клиента и, как следствии, потери state’ов на NAT.
    — при выключенной local forwarding при переключении с одной AP на соседнюю все коннекты сохранятся, т.к. клиент по сути всегда будет в подсети CAPsMAN. Но нагрузка на CAPsMAN будет нормальная.
    Вопрос, сколько клиентов с каким трафиком потянет CAPsMAN на RB951G? Например 2-3 человека видео на телефоне смогут смотреть?

  34. Юрий Пузанков

    Я вот внимательно ознакомился с данной статьей, так как было желание сделать то же самое. И вдруг у меня возник вопрос, возможно глупый, так что камнями не кидайте. Если этот замечательный CAPSMEN не поддерживает протоколов роуминга, то зачем он тогда вообще нужен? Нет я конечно понимаю, что гораздо проще настроить один раз и распространить настройки на овер сотню точек доступа. Но каков смысл с этим заморачиваться имея всего несколько точек?

    1. Андрей Торженов Автор записи

      CAPsMAN это централизованная настройка и мониторинг точек и клиентов. Это уже актуально (особенно мониторинг) даже при >1 CAP.

      Все логи подключений, ошибок, параметров соединения, состояние подключенных клиентов, аутентификация, всё это находится в одном месте, на CAPsMAN, а не разбросано по десяткам или даже сотням точек). Пользоваться или нет этим функционалом, решать вам. Я пользуюсь даже при двух CAP.

      Как я уже писал выше в статье и как уже много кто писал/говорил, понятие роуминга в wifi сетях очень относительное… Все решения о переключении с AP на AP, принимает не AP, а клиент и протоколы на подобии 802.11r, v и т.д., они могут только рекомендовать что-то сделать клиенту, но не заставляют (в отличии от сотовой связи). И без этих протоколов обычно роуминг нормально работает если клиентское устройство не кривое (а если кривое то и эти протоколы не помогут).

      Этот вопрос дискуссионный и часто холиварный, так что оставим его… 🙂

  35. Евгений Мосолов

    Добрый день.
    Спасибо за подробную статью, приятно, что вы её обновляете.
    Вопрос такой — можно ли подключить точки доступа через стороннее оборудование (например, радиомост ubiquiti или роутер Dlink)? Так же, можно ли соединять микротики последовательно?

  36. Иван

    На вашей схеме «CAPsMAN: Local Forwarding» в устройство с CAPsMAN приходят провода от маршрутизатора и коммутатора, а затем еще и они объединяются проводом. Нет ли тут ошибки подключения?
    При переезде CAPsMAN на отдельное устройство, бриджы wifi пользователей и их dhcp сервера тоже должны быть перевезены с маршрутизатора?

    1. Андрей Торженов Автор записи

      Все эти соединения (провода) это условно, просто что бы показать, как трафик от wifi клиентов проходит при разных настройках local forwarding. Создавайте физическую топологию сети как вам необходимо.

      DHCP сервер разворачивайте где вам удобно.

      Про бриджи вопрос не понял. Если у вас «local fw: on» то будут использовать бриджи что на самих CAP, если «local fw: off», то используются бриджи на capsman.

      1. Иван

        На маршрутизаторе:
        10.10.10.1/24 bridge1 LAN
        10.10.20.1/24 bridge2 WIFI_OFFICE
        10.10.30.1/24 bridge3 WIFI_GUEST
        DHCP WIFI_OFFICE
        DHCP WIFI_GUEST

        На CAPsMAN:
        10.10.10.2/24 bridge1 LAN

        Для WIFI_OFFICE и WIFI_GUEST в datapaths указывать bridge1?

Добавить комментарий