Настройка MikroTik CAPsMAN v2 и двухдиапазонные точки доступа hAP ac lite

Обновление от:

wifi_map

Упрощенная схема CAPsMAN сети

В данной статье я не буду глубоко погружаться в настройки Mikrotik, а акцентирую свою внимание на настройке CAPsMAN v2 и особенно на моментах которые мне были непонятны.

Статья рассчитана на начинающих пользователей, которые ещё не сталкивались с CAPsMAN. Она поможет сделать первые шаги в изучении данного продукта, понять архитектуру и принципы работы. В статье приведён один из вариантов настройки Wi-Fi сети на базе CAPsMAN, но на самом деле вариантов больше и под каждую конкретную задачу можно выбрать оптимальный вариант настройки.

MikroTik постоянно улучшает функционал CAPsMAN и с каждой новой версией ROS появляются новые возможности и настройки, так что, не удивляйтесь, если в процессе настройки CAPsMAN у вас будут отличаться параметры или появятся новые, которые не описаны в статье.

Используемое оборудование и ПО:

  • MikroTik hAP ac lite (RouterBOARD 952Ui-5ac2nD) версии 6.35.4.
  • Для работы с CAPsMAN v2, необходимо активировать пакет wireless-cm2 или wireless-rep.

Оглавление

Первый hAP ac lite в роли CAPsMAN v2 и Wi-Fi AP

Настройка идентификатора MikroTik’а

Прописываем идентификатор MikroTik’а, что бы в дальнейшем было проще ориентироваться.

capsman_identity

Команды в консоле

Настройка бриджа

Создаем bridge, добавляем в него интерфейсы (все кроме Wi-Fi) и присваиваем IP адрес. Wi-Fi интерфейсы сами добавятся в нужный бридж.

Акцентировать на этом внимание не буду, всё стандартно.

Во время настройки бриджа и добавления в него портов может отвалится WinBox. Просто переподключитесь.

capsman_bridge capsman_bridge_ip

Команды в консоле
Wi-Fi интерфейс и bridge

Не добавляйте в bridge Wi-Fi интерфейсы. CAPsMAN, в зависимости от настроек Local Forwarding в Datapath, сам добавит или нет Wi-Fi интерфейсы в bridge.

Если вы вручную добавите Wi-Fi в bridge, могут быть проблемы и сообщения в логах:

bridge port received packet with own address as source address (4f:5e:0d:15:60:6s), probably loop

Настройка CAPsMAN на hAP ac lite

Иерархическая структура настроек CAPsMAN

Что бы было проще ориентироваться в приведенных настройках CAPsMAN, опишу иерархию настроек.

capsman_config_top

Все настройки Wireless интерфейсов объединяются в Groups (профили настроек), Groups привязываются к Configuration, а уже Configuration ассоциируется с Provisioning.

Provisioning это правила настройки CAP’ов. Когда CAP подключается с CAPsMAN он подгружает (динамически или статически) свой Provisioning и с помощью него получает все необходимые настройки.

Configuration могут быть Master и Slave. Master это основная конфигурация, Slave дополнительная, например для гостевой сети.

Groups (профили настроек) в CAPsMAN:

  • Channels  — настройки каналов (частоты), шириной канала, мощность и т.д..
  • Datapaths — как и куда будет терминироваться трафик от Wi-Fi клиентов.
  • Security — безопасность Wi-Fi. Ключи и типы шифрования.

Groups, Configuration и Provisioning может быть множество для разных задач.

В нашем случае, будет созданы две Master Configuration для 2.4 Ghz и 5 Ghz диапазонов и два Provisioning для CAP с двумя радиокартами 2.4 Ghz и 5 Ghz. Slave конфигурация не используется.

Подробнее: CAPsMAN Configuration Concepts

Включаем CAPsMAN

capsman_enable_capsman

Выбираем меню CAPsMAN (1), нажимаем кнопку Manager (2) и включаем CAPsMAN (3).

Таблица распределения 2.4 Ghz частот и каналов

Wi-Fi 2.4 ГГц. Схема распределения каналов

Wi-Fi 2.4 ГГц. Схема распределения каналов

Wi-Fi 2.4 ГГц. Таблица распределения частот

Используйте частоты разрешённые в вашем регионе!

Настройка Channel для 2.4 Ghz (20 Mhz)

capsman_channel

Выбираем закладку Channel (1) добавляем канал (2).

Указываем имя группы каналов, частоту, ширину канала (20 Mhz), поддерживаемые стандарты 802.11 (b/g/n), мощность (20).

Мы создали первый канал (канал 1) для первого CAP’а, теперь нам необходимо создать второй не пересекающийся канал (канал 6) для второго CAP’а.

Настраиваем его аналогичным образом.

Результат будет таким:

capsman_channel_list

Таблица распределения 5 Ghz частот и каналов

Wi-Fi 5 ГГц. Схема распределения каналов

Wi-Fi 5 ГГц. Схема распределения каналов

Wi-Fi 5 ГГц. Таблица распределения частот

Используйте частоты разрешённые в вашем регионе!

Настройка Channel для 5 Ghz (40 Mhz)
capsman_channel_5

Настройки аналогичны настройкам для 2.4 Ghz. Добавляем канал 36 (5180 Mhz) и потом канал 44 (5220 Mhz).

Обратите внимание как устанавливается ширина канала. Эта настройка весьма не очевидна. Если нам нужно 40 Mhz, то мы в Width ставим 20, а в Extension Channel указываем куда будем расширять канал. Выше (Ce) или ниже по каналам (eC).

Если вам нужно 80 Mhz то будет Ceee или eeeC, а в Width всё те же 20 и т.д. Подробно данная тема обсуждалась на форуме MikroTik тут и тут.

 

Результат будет таким:

Если у вас не стоит задача вручную разносить CAP’ы на непересекающиеся каналы, то можно создать только по одному Channel для 2.4 Ghz и 5 Ghz, а поле Frequency оставить пустым. Тогда CAPsMAN будет сам, автоматически, распределять между CAP’ами частотные каналы. Но я считаю, что лучше вручную распределить каналы. Выбор за вами. Ниже я опишу процесс присваивания индивидуального канала для каждого CAP’а.

Настройка Datapaths

Настраиваем как будет ходить трафик от Wi-Fi клиентов.

capsman_datapaths

Выбираем закладку Datapaths (1), добавляем новый (2), выбираем ранее созданный Bridge (3) и устанавливаем Local Forwarding (3) и Client To Client Forwarding (4).

Client To Client Forwarding — разрешаем или нет Wi-Fi клиентам видеть друг-друга в рамках одного радиомодуля (радиоинтерфейса).

Local Forwarding — если включён Local Forwarding, то Wi-Fi интерфейс добавится в локальный бридж конкретной CAP и трафик от Wi-Fi клиентов подключённых к данной CAP будет терминироваться локально. Если Local Forwarding выключен, то организуется что-то типа туннеля от CAP до CAPsMAN и Wi-Fi интерфейсы CAP’ов добавятся в бридж CAPsMAN’а и весь трафик со всех CAP’ов пойдёт централизованно через CAPsMAN. (Заметка: MikroTik CAPsMAN и Local Forwarding, обновление от 04/05/2017 )

Пример, когда выключен Local Forwarding и все CAP’ы динамически добавлены в bridge CAPsMAN’а:

capsman_bridge_cap

 

Настройка Security

Всё стандартно и понятно, останавливаться подробно не буду.

capsman_sec

CAPsMAN log: disconnected, group key timeout

Некоторые Wi-Fi клиенты отключаются от точки доступа примерно раз в 5 минут и в этот момент в логе Mirkotik появляется запись:

caps,info 28:FF:4E:BD:CA:4F@cap3 disconnected, group key timeout

Необходимо увеличить параметра group-key-update (как часто, точка доступа обновляет и передаёт клиентам новый групповой ключ). Данный параметр появился с версии ROS 6.38 и ещё не описан в wiki по CAPsMAN.

В случае возникновения подобных проблемы установите параметр group-key-update равный одному часу.

Пример:

/caps-man security set security1 group-key-update=1h

В WinBox данного параметра ещё нет, настроить можно только через консоль.

 

Создание Configuration для 5 Ghz

capsman_config_wireless

В закладке Configurations (1) добавляем конфигурацию (2) для 5 Ghz диапазона.

Задаём имя конфигурации (3), режим работы Wi-Fi радио карты (4), SSID (5), страну (6) и антенны (7).

В закладках Channel, Datapath и Security выбираем выше созданные Groups (профили настроек).

capsman_config_ch

По умолчанию, все новые CAP’ы динамически подключенные к CAPsMAN будут использовать канал 36. В дальнейшем мы сможем задать свой собственный канал для каждой CAP.capsman_config_data capsman_config_sec

Создание Configuration для 2.4 Ghz

capsman_config_wireless_2Настройки аналогичны настройкам для 5 Ghz, задаём только своё имя конфигурации (1).

В закладках Channel, Datapath и Security выбираем выше созданные Groups (профили настроек).

capsman_config_ch_2По умолчанию, все новые CAP’ы динамически подключенные к CAPsMAN будут использовать канал 1. В дальнейшем мы сможем задать свой собственный канал для каждой CAP. capsman_config_data_2 capsman_config_sec_2В результате мы получим две конфигурации для 2.4 и 5 Ghz диапазонов.

capsman_config_listНастройка Provisioning

Возможности Provisioning весьма широкие, в данном примере показан один из простых примеров — всем CAP присваивать одинаковую конфигурацию на основе их аппаратных возможностей (используемых радиомодулей).

Но можно создавать более сложные правила Provisioning’а, например:

  • на основе MAC адреса — выделить какому-то конкретному CAP персональную конфигурацию (например распределить меду CAP частотные каналы на основе их MAC адресов),
  • присвоить конфигурацию CAP’ам на основе их Identity,
  • сделать несколько вторичных конфигураций для CAP’ов (SSID), например для гостевой сети,
  • задать правила присвоения имен CAP’ам,
  • и другие вариант.

 

И так, мы создали группы с настройками для каналов (Channel), безопасности (Security), группы с правилами хождения трафика (Datapath) и объединили эти группы в конфигурации (Configuration) для двух диапазонов 2.4 Ghz и 5 Ghz.

Теперь необходимо создать правила настройки CAP’ов (Provisioning). Каким CAP’ам, какие конфигурации будут присваиваться (конфигураций может быть много с разными настройками).

Делается это с помощью Provisioning.

Создадим два Provisioning для 2.4 и 5 Ghz диапазонов.

Provisioning для MikroTik с 5Ghz радиокартами

capsman_prov_5

  • Мы можем указать конкретный MAC адрес (1) CAP’а, которому будет присваиваться конкретное правило настройки (Provisioning). В данном случае, MAC всё нули, т.е. применять для всех CAP’ов с любым MAC.
  • Указываем для каких радиокарт (2) действует данное правило настройки (Provisioning). В нашем случае для карт 802.11a, n и ac.
  • Параметр Action (3) указываем как на скриншоте.
  • Выбираем ранее созданную конфигурацию для 5 Ghz (4).

Provisioning для MikroTik с 2.4 Ghz радиокартами

capsman_prov_2

  • Мы можем указать конкретный MAC адрес (1) CAP’а, которому будет присваиваться конкретное правило настройки (Provisioning). В данном случае, MAC всё нули, т.е. применять для всех CAP’ов с любым MAC.
  • Указываем для каких радиокарт (2) действует данное правило настройки (Provisioning). В нашем случае для карт 802.11b, g и n.
  • Параметр Action (3) указываем как на скриншоте.
  • Выбираем ранее созданную конфигурацию для 2.4 Ghz (4).

В результате мы получим следующий список Provisioning:

capsman_prov_list

Команды в консоле

На этом, базовые настройки CAPsMAN закончены.

Настройка локальных Wireless интерфейсов для работы с CAPsMAN

Мы настроили CAPsMAN на первом hAP ac lite, теперь настроим на нём Wireless интерфейс (локальный Wi-Fi интерфейс), которая будет под контролем CAPsMAN.

cap1_config

  • Заходим в меню Wireless (1).
  • Нажимаем кнопку CAP (2).
  • Включаем работу CAP с CAPsMAN (3).
  • Выбираем Interfaces (4) которые будут под контролем CAPsMAN (wlan1 — 2.4Ghz и wlan2 — 5Ghz).
  • Указываем IP адрес CAPsMAN (5). IP можно не указывать, а указать только Discovery Interfaces. CAP будет искать CAPsMAN в той сети, где находится Discovery Interfaces.
  • Указываем Bridge (6) в который будет добавляться Wireless интерфейс если включен Local Forwarding в Datapath.
Команды в консоле

В результате мы видим, что Wireless интерфейсы wlan1 и wlan2 находятся под управлением CAPsMAN.

cap1_wireless_list

Полный конфиг первого hAP ac lite (CAPsMAN-CAP1)

Второй hAP ac lite в роли Wi-Fi AP под управленим CAPsMAN

Настройка идентификатора MikroTik’а

Прописываем идентификатор MikroTik’а, что бы в дальнейшем было проще ориентироваться.

cap2_id

Команды в консоле

Как и для CAPsMAN создаем бридж.

Создаем bridge, добавляем в него интерфейсы (все кроме Wi-Fi) и присваиваем IP адрес.

Wi-Fi интерфейсы сами добавятся в нужный бридж.

cap2_bridge cap2_bridge_ip

Команды в консоле

Настройка Wireless интерфейсов для работы с CAPsMAN

Настройки Wireless интерфейсов для работы с CAPsMAN, точно такие же, как и для CAP1.

cap1_config

  • Заходим в меню Wireless (1).
  • Нажимаем кнопку CAP (2).
  • Включаем работу CAP с CAPsMAN (3).
  • Выбираем Interfaces (4) которые будут под контролем CAPsMAN (wlan1 — 2.4Ghz и wlan2 — 5Ghz).
  • Указываем IP адрес CAPsMAN (5). IP можно не указывать, а указать только Discovery Interfaces. CAP будет искать CAPsMAN в той сети, где находится Discovery Interfaces.
  • Указываем Bridge (6) в который будет добавляться Wireless интерфейс если включен Local Forwarding в Datapath.
Команды в консоле

В результате мы видим, что Wireless интерфейсы wlan1 и wlan2 находятся под управлением CAPsMAN.

cap1_wireless_list

Полный конфиг второго hAP ac lite (CAP2)

На этом настройки второго hAP ac lite закончены, и Wi-Fi сеть должна работать, но правда на одном канале. Нас это не устраивает. Продолжаем дальше…

Настройка индивидуальных частотных каналов для CAP

Мы настроили CAPsMAN и две Wi-Fi точки доступа (CAP1 — находится на том же hAP что и CAPsMAN и CAP2 — на втором hAP’е). Если вы всё правильно настроили, то они подключились к CAPsMAN.

Открываем CAPsMAN на закладке Interfaces и видим 4 динамически (буква D (1)) созданных интерфейса (у нас два CAP’а и каждый с двумя радиоинтерфесами).

capsman2_if

Описание букв в левой колонке

Wi-Fi сеть уже работает, но все CAP’ы находятся на одном канале (2), а нам нужны разные.

Применить индивидуальные конфигурации для CAP (а частотный канал, это один из параметров конфигурации), можно как в статическом режиме, так и в динамическом.

Статическое распределение персональных частотных каналов (конфигураций)

Сейчас CAP’ы прописаны в CAPsMAN динамически (автоматически) и соответственно каналы прописались те, что мы указали ранее в конфигурации (groups channel).

В данный момент все CAP’ы подключены к CAPsMAN динамически (буква D) и в связи с этим на них нельзя менять параметры. Параметры можно менять только на статически привязных CAP’ах к CAPsMAN.

Открываем свойства интерфейса cap1 (он у нас на 2.4Ghz на CAP1), нажимаем Copy (1) и в окне параметров нового интерфейса, производим необходимые настройки. Дадим более понятное имя интерфейсу (2) и частоту канала (3).

capsman2_if_cap_copy

Теперь выбираем cap2 интерфейс (он у нас на 5Ghz на CAP1). Так же указываем имя и канал.

capsman2_if_cap_copy_5Повторяем такие же манипуляции для CAP2 (соответственно выбираем другие частотные каналы).

В результате видим следующее:

capsman2_if_cap_copy_resultУ каждой CAP свой канал для 2.4Ghz и для 5Ghz (1), но интерфейсы неактивны (буква I) (2).

Изменения в новых настройках интерфейсов CAP’ов мы сделали, теперь нужно присвоить новые конфигурацию CAP’ам.

Заходим в закладку Remote CAP (1), выбираем первый CAP (2) и нажимаем кнопку Provision (3).

capsman2_cap_static_provПовторяем такие же манипуляции для CAP2.

Команды в консоле

В результате мы видим, что все интерфейсы привязались к своим CAP (буква B) и у каждой CAP свой канал (частота).

capsman2_if_cap_after_prov_result

Полный конфиг первого hAP ac lite (CAPsMAN-CAP1) со статической привязкой CAP

Динамическое распределение персональных частотных каналов (конфигураций)

При больших инсталляциях, будет удобней использовать персональные правила динамического провижининга для каждой CAP на основе MAC адреса CAP.

Т.е. есть у нас 50 CAP’ов, то создаём для них 50 персональных правил провижининга.

Пример создания правила:

Создание правила Provisioning

Создание правила Provisioning

  1. Указываем MAC радиоинтерфейса CAP.
  2. Тип/технология радиоинтерфейса.
  3. Конфигурация которая будет присваиваться данной CAP.
  4. Можно указать дополнительную конфигурацию для CAP (например для гостевой сети).
  5. Задаём правило формирования имени которое присваивается CAP’у.
  6. Задаём имя для CAP.
  7. В результате видим, что у нас появился радионтерфейс.
Команды в консоле

Настройки закончены, можно подключаться к сети.

Используя такую же методику, можно изменять любые параметры на конкретных CAP’ах. Например, у всех CAP’ов в сети ширина канала 40 Mhz, но для одного CAP’а нам нужно сделать 20 Mhz.

В CAPsMAN закладке Registration Table, можно посмотреть какие пользователи, с какими параметрами и к какому интерфейсу подключены.

capsman2_reg_tbl

Команды в консоле

Бесшовный роуминг Wi-Fi (handover)

Много разговоров на эту тему… Нет роуминга (802.11r / OKC) у Mikrotik. Так же, как его нет и у конкурента в своём ценовом диапазоне — Ubiquiti. В своё время, Ubiquiti разрабатывала свой протокол роуминга — Zero Handoff, но сейчас отказалась от него в новых версиях AP AC Gen2, а на старых AP не рекомендует его использовать:

«First, the ‘ZH’ feature isn’t not recommended in the vast majority of deployments…»

http://community.ubnt.com/t5/UniFi-Wireless/Unifi-AP-Zero-Handoff-Decision/m-p/1536502/highlight/true#M155829

Ubiquiti в новых AP AC Gen2 не планирует реализовывать ZHO, а сосредоточится на 802.11r :

Re: Zero Handoff: Support for UAP-AC-PRO?
Options
‎02-18-2016 09:41 AM

@esseph is right. Currently there are no plans for ZHO on gen2 AC products. The focus will be 802.11r/v/k.

Cheers,
Mike https://community.ubnt.com/t5/UniFi-Wireless-Beta/Zero-Handoff-Support-for-UAP-AC-PRO/m-p/1486351#M23046

Но вернёмся к Mikrotik. На форуме Mikrotik я встречал упоминание, что они тоже работают над 802.11r, но точных ссылок на эту информацию не дам. Может в RouterOS 7 что-то и появится, посмотрим.

Тут главное помнить «Обещать – не значит жениться», ну или «Обещанного три (4,5,6,20) года ждут» 🙂 Это в равной степени относится как Mikrotik так и к Ubiquiti.

Но вернёмся к реализации «роуминга», что можно сделать…

В Mikrotik есть возможность «сбросить» пользователя с CAP, по достижению пользователем, заранее заданного минимального уровня сигнала. Т.е. клиент не будет держаться до последнего за конкретный CAP (точку доступа), а принудительно отключится от него и подключится к соседнему CAP’у с большим уровнем сигнала (у Ubiquiti сейчас такая же реализация).

По моему опыту, во время переключения теряется 1-2 пинга, т.е. примерно 3-6 секунд.

Создаём Access List с ограничениями по уровню сигнала

capsman2_alВ CAPsMAN заходим в закладку Access List и создаем два правила:

  1. Правило разрешающее — accept (2) — подключение клиентов с уровнями сигналов лучше чем -79 dBm (2).
  2. Правило запрещающее — reject (4) — подключение клиентов с сигналом хуже чем -80 dBm (3).
Команды в консоле

Если в радиусе действия клиента будет другой CAP, он зарегистрируется на нём. В логах и Registration Table можно смотреть процесс переключения клиента.

На форумах встречал утверждение, что правила Access List’а проверяются только в момент подключения клиента к Wi-Fi сети и что если уровень сигнала клиента, изменится когда клиент уже подключен, то правила Access List’а не сработает.

Данное утверждение неверно, Access List постоянно контролирует клиента и если его уровень сигнала опустится ниже настроенного уровня, то клиент будет сразу отброшен Access List’ом.

Новая опция: allow-signal-out-of-range

C версии ROS 6.41rc30 (18/09/2017) в реализации Wi-Fi без CAPsMAN для Access List’ов появилась опция «allow-signal-out-of-range». Она пока ещё не описана в документации и не поддерживается в CAPsMAN. Данная опция позволяет, настроить проверку уровня сигнала клиента с помощью Access List только в момент подключения клиента к Wi-Fi или указать время в течении которого Mikrotik будет игнорировать снижение уровня сигнала от клиента.

Например: Если данный параметр поставить 10s и у клиента кратковременно упадёт сигнал (например рукой антенну закрыл), то Mikrotik не отбросит его сразу, но если от клиента уровень сигнала будет низкий больше 10 секунд, то его отключат от AP.

Ждём данную реализацию и для CAPsMAN.

Подробнее читайте на форуме: 1, 2 и 3.

Тестирование роуминга (хендовера)

Имеется два CAP’а под управлением CAPsMAN (CAP5 и CAP6). В настройках Bridge выключен Local Forwarding. В Access List’е настроены минимальные уровни сигнала при которых клиент может работать с нашей Wi-Fi сетью.

Для тестирования были следующие уровни сигнала:

С помощью смартфона, я подключился к CAP5 и стал перемещаться к CAP6. На смартфоне запущен ping.

Как только на CAP5, уровень сигнала от смартфона опустился ниже указанного порога, я сразу переключился на CAP6.

Лог:

В логе видно:

  • CAPsMAN отключил от CAP5 клиента в связи с низким уровнем сигнала: cap5 disconnected, too weak signal
  • и в ту же секунду, клиент подключился к CAP6 без повторного DHCP запроса.

В этот момент на клиенте был потерян один ICMP пакет (ping)

Mikrotik Wi-Fi роуминг

Mikrotik Wi-Fi роуминг

Описание протоколов Wi-Fi-роуминга

Предлагаю вашему вниманию полезную статью «802.11 WLAN Roaming and Fast-Secure Roaming on CUWN» на сайте Cisco.

В статье, достаточно подробно описаны различные механизмы реализации роуминга их отличия друг от друга и особенности. Данное описание применительно не только для оборудования Cisco.

Как клиентское устройство выбирает частотный диапазон к которому подключиться

Часто возникает вопрос: как при одном SSID для 2.4 и 5 ГГц клиентское устройство выбирает частоту к которой подключаться?

Выбор частоты является ответственностью клиентского устройства.

Я проводил эксперименты на разных устройствах и конфигурациях сети. Результаты были следующие:

Если уровень сигнала на 5 ГГц удовлетворяет требованиям клиента, то он всегда подключается к 5 ГГц, если уровень сигнала падает до неприемлемого уровня, то он переключится на 2.4 ГГц. Если уровень сигнала на 5 ГГц вернулся в норму, то клиент автоматические ¹ не переключится к нему с 2.4 ГГц, переключить можно только принудительно — отключить и обратно включить Wi-Fi на клиентском устройстве.

Если вы создадите два SSID — отдельно для 2.4 и 5 ГГц и зарегистрируете клиента в обоих SSID, то клиентское устройство будет работать абсолютно так же — всегда будет пытаться подключиться к 5 ГГц и, если нет… тогда уже к 2.4 ГГц.

Комментарий от 18/02/2018
1 — Я уже сомневаюсь в правильности моих утверждений на тему — «Если уровень сигнала на 5 ГГц вернулся в норму, то клиент автоматические не переключится к нему с 2.4 ГГц».

Автоматически переключиться может на 5 ГГц, но не на всех клиентских устройствах. Всё зависит от реализации Wi-Fi на конкретном клиентском устройстве.

Провёл эксперимент, который опроверг категоричность моего утверждения. Суть его в следующем:

В Wi-Fi сети, под управлением CAPsMAN есть два разных SSID для 2.4 и 5 ГГц. Когда я перезагрузил CAPsMAN, то радиомодуль на 2.4 ГГц (cap1) поднялся сразу и к нему подключился ноутбук, а вот модуль на 5 ГГц (cap2) выполнял процедуру Radar Detection и поднялся позже.

В этот момент, ноутбук увидел SSID с 5 ГГц и автоматически переключился с 2.4 GHz (cap1) на 5 GHz (cap2).

Лог:

Так что, не всё так однозначно в этом вопросе…

Многое, а если точнее почти всё, зависит от реализации Wi-Fi на клиентском устройстве и в этом одна из самых больших проблем Wi-Fi. Не может Wi-Fi точка доступа или контроллер управлять клиентским устройством, клиент сам решает как ему работать.

Презентации с MUM на тему CAPsMAN

The following two tabs change content below.
В профессиональной сфере занимаюсь всем, что связанно с IT. Основная специализация - VoIP и сети передачи данных. Стараюсь не заниматься Windows серверами (но иногда приходится) и 1С.

Настройка MikroTik CAPsMAN v2 и двухдиапазонные точки доступа hAP ac lite: 95 комментариев

  1. Ivan Chirkov

    Спасибо за статью!
    Не могли бы вы подробнее рассказать/объяснить в чем разница (на практике) между включенным и выключенным Local Forwarding?
    Когда стоит включать Local Forwarding, а когда выключать?

    Из своего опыта могу сказать, что при выключенном Local Forwarding переключение между капами происходит почти незаметно (например, разговор голосом по Skype фризится на мгновение и пользователи этого почти не замечают), а вот если Local Forwarding включен, то тот же Skype звонок в большинстве случаев отваливается. Почему так происходит?

    1. Андрей Торженов Автор записи

      На тему Local Forwarding.

      У нас есть два CAP’а:
      CAP1, на нём поднят CAPsMAN и Wi-Fi AP.
      CAP2, поднят Wi-Fi AP.

      Если выключить Local Forwarding, то трафик от клиентов CAP2 пойдет через CAP1. Т.е. от CAP2 до CAP1 организуется некий туннель и весь трафик будет идти через CAP1 CAPsMAN. Если CAP’ов много и у всех выключен Local Forwarding, то ВЕСЬ трафик от пользователей этих CAP’ов будет идти через CAP1. CAP1 будет ЕДИНОЙ точкой входа и выхода трафика всей Wi-Fi сети.

      Если включен Local Forwarding, то трафик от всех CAP’ов (Wi-Fi клиентов) будет терминироваться локально, не будет идти на CAP1.

      Как-то так…

      Да, при выключении Local Forwarding, переключение может быть быстрее.

      1. Ivan Chirkov

        Спасибо за ответ.

        А есть ли у вас опыт или информация, как capsman разруливает коллизии в wi-fi сети? Имеется ввиду проблема скрытого узла (http://zscom.ru/chto-takoe-polling-v-wifi-setyah)
        Ведь деже при двух капах пользователи уже могут «не видеть» друг друга напрямую при этом находят в одной wi-fi сети.

        У меня есть 4 капы, разбросанные по офису (настроено как в вашей статье, за исключением 5Ghz (нет) и LocalForwardin (выключен)). Время от времени у клиентов пропадает интернет, при этом соединение с wi-fi не пропадет. Интернет возвращается через пару минут или после отключения включения wi-fi на машине клиента. Подозрение на коллизии в сети.

        1. Андрей Торженов Автор записи

          На тему коллизий. У MT есть режим: Frame protection support (RTS/CTS)
          подробней тут: http://wiki.mikrotik.com/wiki/Manual:Interface/Wireless#Frame_protection_support_.28RTS.2FCTS.29

          TDMA у них тоже есть (режим Nsteram и NV2).
          Это проприетарный режим, работает только с Микротиками.
          Подробней тут: http://wiki.mikrotik.com/wiki/Manual:Interface/Wireless

          Frame protection support можно настроить в CAPsMAN, TDMA пока не поддерживается, да и думаю вам это не нужно.

          С такой проблемой, как у вас не сталкивался… думаю вам лучше тут вопрос задать: http://forum.nag.ru/forum/index.php?showforum=56

          Может есть какие-то закономерности у тех пользователей, которых возникают проблемы? Одинаковые wifi карты например?

  2. Сергей Каменев

    Благодарю за прекрасную статью. Очень всё подробно, даже слишком. Единственное что мне не удается реализовать, так это пункт Local Forwardung, если его включить то происходит следующее:

    Прикрепленный файл:

    1. Андрей Торженов Автор записи

      CAPsMAN создан, что бы централизованно управлять всеми точками Wi-Fi (CAP).

      Вы можете запустить скрипт на CAPsMAN и выполнять в скрипте команду:

      /caps-man security set security1 passphrase=yourNewPsk

      Где security1 — ваш профиль с настройкой безопасности.

      После этого, автоматически на всех CAP’ах пропишется новый PSK.

  3. Aleksandr Gribanov

    Добрый вечер.

    При настройке AP на CCR
    прибег к vlan-ам
    В datapaths
    прописал vlan21 use tag — см вложение — https://yadi.sk/i/hU9CGCTs3EAcBe
    Все подключающиеся пользователи получают от DHCP адреса согласно влану.

    Тут все хорошо.

    В настройках точек САР выставлено так см вложение

    если выключить САР на АР то точка доступна по сети и я на нее могу подключится, стоит вкл САР на точки доступа, по кабелю я вижу только шлюз, а при попытке подключится к точкам, узнав их ИП или МАС через шлюз. Я уже ни как не могу подключится.

    Если же выключить САР на точках, то все ок. Они становятся доступны и можно подключится к ним.

    На точках есть бридж — и в него добавлены как wlan-ы так и ethernet, но я не думаю, что проблема в этом.

    Еще вопрос: Можно ли через Сарsman настроить белый список?

    Прикрепленный файл:

    1. Андрей Торженов Автор записи

      C VLAN вам не помогу, пока не было необходимости использовать VLAN на Микротик. Я его использую дома и в связи с этим нет нужды в сложных топологиях. Основная моя работа связана с другим оборудованием (Cisco, Avaya, HP и т.д.), в нём я более компетентен.

      Что вы имеете ввиду под белым списком? Что бы доступ к Wi-Fi был только по определённым MAC адресам, а остальным запрещено?

      1. Aleksandr Gribanov

        Да, фактически нужно отсекать всех кто не в белом списке.
        Пока добавляю в Ассеss лист по MAC-y устройства, потом я так понял одним делаю access другим drop(reject), но встает проблема так как итнерфейс можно выбрать только один, а ставить блок на все мне не надо, так как есть гостевой интерфейс.

        1. Андрей Торженов Автор записи

          Сейчас нет возможности проверить. Можно попробовать так:

          Создаём AL правило для SSID GUEST, разрешающее доступ в сеть нужному MAC:

          /caps-man access-list add ssid-regexp=GUEST mac-address=01:02:03:04:05:06 action=accept

          Создаём второе правило AL для SSID GUEST, блокирующее всем доступ в сеть:

          /caps-man access-list add ssid-regexp=GUEST mac-address-mask=00:00:00:00:00:00 action=reject

          Данное правило всегда должно быть последнее в списке!

          1. Aleksandr Gribanov

            Добрый вечер, если я правильно понял, то данное действие приведет к такому результату:

            if хоть один мак присутствует в списке then accept else reject?

            Я проверю, отпишусь.

          2. Андрей Торженов Автор записи

            Да именно так.
            Я сейчас всё проверил у себя, работает.
            Немножко подкорректировал команды:

            /caps-man access-list
            add action=accept disabled=no mac-address=28:87:96:93:79:B9 ssid-regexp=CRUX
            add action=reject disabled=no ssid-regexp=CRUX

            В логах, при попытках подключения не прописанных в белом списке клиентов, будет следующее:

            20:47:48 caps,info 18:CF:5E:AD:CA:4F@cap1 rejected, forbidden by access-list

  4. sskiller

    Всем привет. Есть вопрос по сару. Настроили на двухдиапозонке капу. Магистраль по 5Ггц а сам капман на 2Ггц.
    То есть, без проводов. Как считаете этот конструктор по стабильности?
    Видал один раз капу намутили на одном вифи интерфейсе в 5Ггц и много вланов, конфиг не скинул жаль. Тоесть там магистраль работала в 5Ггц а эзернет вешался на ип камеры. точки были какие то sxt.

  5. buran

    Отличная статья, но хотелось бы спросить, если один микротик подключен к другому по кабелю через PoE in/out настройки аналогичны?

    И второй момент если к клиенту capsman подключить кабелем к примеру пк, то он увидит клиента который подключен кабелем к самому capsman?

      1. buran

        Может я что-то настроил не так, но суть такова.

        Контроллер микротик имеет внутреннюю адресацию 192.168.0.0, соответственно шлюз для сети этого микротика 192.168.0.1

        В порт poe out (5) я воткнул второй микротик, у него адрес этого интерфейса 192.168.0.204.
        Но внутренний dhcp сервер раздает ip адреса сети по умолчанию 192.168.88.0.

        Как мне сделать лучше, чтобы клиенты точки доступа были в той же сети, что и контроллера? Прописать на втором микротике dhcp сервер первого контроллера и отключить существующий dhcp сервер точки или существует еще какой то способ? Или необходимо объединить порты на втором микротике в один бридж?

        1. buran

          Сам же и отвечаю) на втором микротике отключил DHCP сервер, первый входящий порт poe in сделал мастером и все порты объединил в один бридж.

          1. Андрей Торженов Автор записи

            Да… Так и делается обычно… Контроллер является и шлюзом в интернет (nat/fw) и dhcp сервером… а все остальные CAP просто раздают wifi (на них выключено всё лишнее и DHCP сервер тоже) и обеспечивают ethernet интерфейс, если нужно.

            Но конечно топологий сети и вариантов настроек намного больше, то, что описал выше это типовое решение.

  6. mrrc

    Спасибо за труд, одна из самых подробных и развернутых статей по обсуждаемой теме.
    Настроил в точности по приведенному руководству, все функционирует на тестовом стенде.
    Заметил следующее:
    1. При отключенном Client To Client Forwarding один из подключенных к точкам узлов продолжает пинговать подключенного «соседа». По идее, в этом случае подключенные к точкам устройства должны быть изолированы друг от друга полностью?
    2. Если точек будет больше, скажем четыре-пять, разделить на индивидуальные частотные каналы также рекомендуете по аналогии со статьей?
    3. Было бы интересно увидеть статью в вашем исполнении о поднятии Slave-конфигурации и прикручивания к ней Hotspot-а. Ведь CAPsMAN с HotSpot-ом вещи совместимые?

    1. Андрей Торженов Автор записи

      Пожалуйста! Приятно что кому-то пригодился мой труд.

      1. На версии ROS 6.38.5 при выключении Client To Client Forwarding ping’и между клиентами пропадают, только что проверил. Для примера мой конфиг:

      /caps-man datapath
      add bridge=BRIDGE-LAN client-to-client-forwarding=no local-forwarding=no name=datapath1

      2. В моей статье приведён сложный вариант провижининга (настройки) CAP’ов. Каждой CAP выделяется свой индивидуальный непересекающийся частотный канал. Это актуально, когда большая плотность установки WiFi точек доступа, они видят друг-друга и много wifi клиентов. Что бы точки доступа не мешали друг-другу, нужно их разносить на разные непересекающийся частотные каналы (для примера, если это 2Ghz диапазоны, то каналы будут 1-6-11). Если сеть wifi и нагрузка небольшая и точки доступа (CAP’ы) не видят друг-друга, тогда можно особо не заморачиваться и в Channel не указывать частоту канала (и тогда можно сделать один Channel для всех CAP’ов), Mikrotik во время привижининга CAP’ов сам выберет наименее загруженный канал.

      Для построения качественной WiFI сети,в любом случае, необходимо производить радиоразведку, делать предварительные расчёты зоны покрытия, продумывать где будут размещаться CAP’ы (точки доступа), на каких они буду частотных каналах и будут ли они мешать друг-другу.

      3. Пока не приходилось на Mikrotik настраивать HotSpot, так что подсказать не могу. Настроить slave конфигурацию не проблема, делал это, но без hotspot’а. Если когда будут настраивать, опишу эту поцедуру.

      1. mrrc

        Благодарю, Андрей!
        Касаемо изоляции между собой подключаемых клиентов — перепроверил, связь почему-то остается.
        Конфиг и версия ROS идентичные у нас с вами.

        /caps-man datapath
        add bridge=bridge2 client-to-client-forwarding=no local-forwarding=no name=datapath1

        Что с local-forwarding=no, что с local-forwarding=yes.

          1. mrrc

            Еще раз перепроверил, действительно изоляция работает только в рамках одного капа независимо от значения local-forwarding, более того, если САРы двухдиапазонные, то только в пределах одного радиомодуля, т.е., например, когда два клиента подключены к одному и тому же САРу на 2.4GHz — изоляция работает. Если же один сел на 5Ghz, а другой на 2.4GHz, то изоляции нет и в пределах одного CAPа.
            Было бы неплохо, чтобы кто-то перепроверил сказанное на своем оборудовании.

          2. Андрей Торженов Автор записи

            Это логично и как мне кажется правильно.

            Задача изоляции wifi клиентов стоит в том, что бы уменьшить паразитный трафик в одном частотном радиоканале, это важно, т.к. один частотный канал делится между всеми клиентами, это общая среда передачи, что приводит к коллизиям, снижению скорость, потере пакетов и т.д.

            Если стоит задача изолировать всех клиентов между собой на всех радиомодулях и CAP’ах, для этого есть фильтры в бридже или файрвол.

      2. Denis Chashin

        Добрый день!
        » Если сеть wifi и нагрузка небольшая и точки доступа (CAP’ы) не видят друг-друга, тогда можно особо не заморачиваться и в Security не указывать частоту канала (и тогда можно сделать один security для всех CAP’ов)»

        Опечатка? Не Security, а Channel.

  7. mrrc

    Изоляция всех подключаемых клиентов между собой тоже может быть полезна в определённых случаях, когда этим пользователям ну никак не нужно иметь какой-либо доступ к подключенным устройствам своих «соседей».
    Пока глубоко не тестировал, ограничение сделал в бридже:

    /interface bridge filter
    add action=drop chain=forward in-bridge=bridge2 out-bridge=bridge2

  8. mrrc

    Касаемо нового комментария в описании настройки по сообщениям в логе контроллера

    caps,info 28:FF:4E:BD:CA:4F@cap3 disconnected, group key timeout

    Указанное значение group-key-update=1h добавлено, но на наличие записей в логе это никак не повлияло, впрочем статистики по стабильности работы подключений у пользователей пока тоже еще не наработано и носят записи информативный характер или реально сигнализируют об отваливании связи у подключенных клиентов — пока сказать не могу.

      1. mrrc

        Насколько минимизирует? В вашем случае после внесения значения group-key-update=1h клиентские устройства по факту стали отключаться реже по описанной проблеме?
        У себя я вижу, что сообщения в логе реже не стали, но и пока явных жалоб на сбои в работе не поступали (может это только пока, времени мало прошло с момента развертывания комплекса и пользователей мизер еще).

        1. Андрей Торженов Автор записи

          У меня маленькая сеть. Сообщений стало меньше.

          Если поискать на forum.mikrotik.com, то видно, что данная проблема часто (но не только!) возникает с iPhone когда они засыпают. Насколько я понял, свойственно это определенным версиям iPhone/iOS.

  9. Abriel Lafiel

    День добрый! Такой вопрос — настроил 2 provisioning, 1 для 5ггц другой для 2.4.
    Срабатывает только один при включении точки в cap mode при помощи зажатия reset (wlan2 на точке не получает настройки и не становится под capsman)
    Если зайти на точку и вручную включить для него cap — все хорошо.
    Не сталкивались с такой проблемой?
    Очень не хочется конфигать вручную, хотелось бы масштабируемое решение…
    точки wap ac

    1. Андрей Торженов Автор записи

      Нет, не сталкивался. Я всегда вручную прописывал адрес CAPsMAN на CAP.

      Когда первый раз настраивал двухдиапазонные точки, были проблемы когда неверно указал hw-supported-modes, тогда второй диапазон не настраивался… Но я так понимаю, это не ваш случай.

      1. Abriel Lafiel

        Не покидало сомнение, что это связано с hw-supported-modes, но! Если я вручную включаю caps на 5ггц интерфейсе, то все работает…

        Есть еще мысль о том, что апшки привязываются по маку eth1 и provisioning не выполняется для одного и того же мака дважды. Как проверить — не знаю.

          1. Abriel Lafiel

            add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
            xdd5 name-format=prefix name-prefix=lenin5- slave-configurations=\
            lenin-5G
            add action=create-dynamic-enabled hw-supported-modes=b,gn master-configuration=\
            xdd2 name-format=prefix name-prefix=lenin2- slave-configurations=\
            lenin-2G

          2. Андрей Торженов Автор записи

            Может стоит попробовать для теста, сделать простую конфигурацию, с одной master конфигурацией? Протестировать и посмотреть на результаты.

            Вот мой провиженинг для wap ac, но я не пробовал настраивать CAP через кнопку, сам настраивал IP адрес CAPsMAN.


            /caps-man provisioning
            add action=create-dynamic-enabled hw-supported-modes=ac,an \
            master-configuration=cfg_5g
            add action=create-dynamic-enabled hw-supported-modes=b,gn \
            master-configuration=cfg_2g

          3. Abriel Lafiel

            попробовал на одном мастер конфиге с 5ггц без слейвов — та точка, что была вручную сконфигурирована — поднялась, остальные — появились как cap1 cap2 (у меня — префиксы должны были быть) и без сети, со статусом MB.

          4. Abriel Lafiel

            посетила меня тут одна мысль — проблема в дефолтном конфиге.
            Попробовал следующее:
            — при старте держим 5 секунд для сброса конфига — в итоге видим 2 сети с последними символами мака.
            — перетыкаем, держим 10-12 секунд, точка уходит в CAP и появляется с 2 сетями! Жесть какая-то, попробую сейчас с другими точками тот же фокус для закрепления.

          5. Abriel Lafiel

            Все-таки что-то с конфигом у них было (который default).
            Попробовал со второй точкой (новая, достал с коробки)
            Первым делом вогнал ее в cap через кнопку — поднялась только 2.4 сеть
            Сделал ресет, повторил с cap — поднялись обе сети.
            Есть подозрение что в конфиге идет 5ггц сеть отключенной.
            Но факт — после сброса с кнопки работает.
            Осталось разобраться как еще в довесок передавать настройки не связанные с wifi (устанавливать пароль администратора на точках как минимум).

  10. Андрей Рыжов

    Обязательно ли создавать бридж для Capsman?Не до конца понимаю какую функцию он выполняет… Если к примеру я на интерфейсе создам 2 vlana, затем в настройках datapath укажу vlan id не будет ли это удобней?

    1. Андрей Торженов Автор записи

      Не совсем понимаю о чём вы…
      В данном случае бридж используется для объединение всех CAP на втором уровне. Думаю возможны и другие варианты настройки, всё зависит от требования. В моём случае описана настройка с бриджом.

    1. Андрей Торженов Автор записи

      Здравствуйте!

      Не могу ответить… Нужно учитывать много факторов:
      * Понимать какой будет тип трафика от пользователей (торрент, iptv, voip или просто серфинг в инете с проверкой почты).
      * Какая скорость будет выделяться пользователям.
      * Какие уровни сигнала будут от пользователей.
      * Какие частотные диапазоны.
      * и т.д. и т.п.

      Вам лучше задать данный вопрос тут: http://forum.nag.ru/index.php?/forum/56-mikrotik-wireless/

      1. Vitaly Kravchenko

        просто серфинг с почтой, скорость зарезана будет
        по диапазонам будут оба использоваться
        и на этих точках будет только wifi, без дополнительного подключения кого то к портам

        вообще интересно потянет 50 подключений (1точка) или надо будет еще докупать

          1. Андрей Торженов Автор записи

            Сложно мне ответить. У меня на них было может 15 пользователей… Нет опыта с большими инсталляциями на данном оборудовании.

            При небольшой нагрузке думаю проблем не будет, а если все будут торрент качать… где много маленьких пакетов, то проблемы могут быть.

            Да и думаю есть смысл ограничить пользователей по уровню сигнала, но тут могут быть проблемы на старых ios.

  11. mrrc

    Андрей, еще раз спасибо за статью, все структурировано, хоть некоторые моменты и не были озвучены, но это уже дело практики и опыта эксплуатации, наверняка по вашей статье с ноля была настроена не одна сотня контроллеров.
    Вопрос к обсуждению у меня касаемо ширины канала в 5G диапазоне. Если мы хотим использовать на точках три (по аналогии с 2,4G) непересекающихся канала, но каждый с шириной до 80МГц, то по моим расчетам это будут частоты 5180 в Сеее, 5240 в Сеее, 5300 в Сеее, т.е. каналы 36 (5180-5240), 48 (5240-5300), 60 (5300-5520) или в данном случае будет пересечение всех трех каналов, никак не могу сообразить?
    И у вас выше в сноске с описанием расчета ширины каналов неточность, Cee или eeC (во всяком случае, на данный момент) нет, для поддержки 20/40/80МГц служит Ceee, eCee, eeCe, eeeC.

    1. Андрей Торженов Автор записи

      Спасибо за отзыв и спасибо за замечание про Cee, исправил!

      Насчёт частот. В вашем случае, если я ни чего не путаю, один канал 5Ghz на 80 Mhz будет занимать с 36 по 48 включительно! Т.е. следующий канал будет с 52.

      В аттаче к комменту схема распределения каналов.

      Прикрепленный файл:

      1. mrrc

        Спасибо, эта схема расклалки по каналам меня и смутила.
        Следуя ей, в вашей статье создаваемые каналы на 40Мгц для 5 Ghz также пересекаются.
        В случае двух каналов по 40МГц — это с 36 по 40 и с 44 по 48 включительно.

        1. Андрей Торженов Автор записи

          Да, вы правы. У меня ошибка.
          Когда в лабе создавал данную схему для написания статьи, сначала использовал 20Mhz, потом перевел на 40, а частоты не поменял.
          Я внесу поправку в статью, но считаю, что это не критичная ошибка, т.к. она рассказывает как настраивать CAPsMAN, а не как проводить радиопланирование.

          Еще раз спасибо за замечание!

  12. Viktor Gorbachev

    Как поднять CAPsMAN на прошивке 6.41rc?
    На более ранних версии все настраивается и работает отлично. На версии 6.41rc не заработал.
    Нужно именно на этой прошивке, почему не спрашиваете. Знаю что она на бета тестировании.
    RouterBOARD 951G-2HnD
    CRS109-8G-1S-2HnD

  13. Dmitry Dvonk Korneev

    Спасибо за труд, очень помогли.
    Вопрос — есть ли инструкции, как в подобной системе на основе CAPsMAN организовать guest wi-fi в самом привычном ее понимании — доступ только в интернет.

    Спасибо!

    1. Андрей Торженов Автор записи

      Пожалуйста!

      Статьи готовой нет…

      Если стоит задача для гостевого SSID сделать доступ только в интернет, то можно создать отдельный bridge для гостей, к нему привязать гостевой DHCP сервер со своей IP сетью для гостей, а дальше уже в Firewall запретить доступ гостевой IP сети везде кроме Интернет…

      Созданный bridge привязывается к datapaths который будет использоваться для гостевой SSID.

      Это как один из вариантов… Также можно сделать с VLAN’ами.

      Ниже ссылки с материалами с MUM. В них описаны похожие задачи. Там есть примеры конфигураций.
      https://2keep.net/presentation_4701_1508319982
      https://2keep.net/presentation_2709_1444122809

          1. Dmitry Dvonk Korneev

            Наконец-то дошли руки до гостевой сети. Сделал на контролере capsman еще один бридж, завел на нем dchp со своим пулом адресов 192.168.89.0/24, завел правила в файерволе (запртетить из гостевой доступ к основной и наоборот), добавил маскарад в nat для этой подсети, создал новый rout — все вроде сделал.
            На capsman поднял конфигурацию гостевую с новым бриджом в datapath с отключенным local forwarding.
            В итоге — гостевая сеть поднялась, раздает ip адреса в подсети 192.168.89.0, но доступа в инет нет.
            Что интересно, что адреса в основной сети раздаются с начала пула, а в гостевой почему-то с конца — типа 254.
            При этом изнутри микротика железка в гостевой сети не пингуется, а если она в основной сети — то пингуется (кое-как, но все-таки).

          2. Dmitry Dvonk Korneev

            Да, примерно что-то в этом духе и сработало. Отключил правила — заработало без ограничений доступа из гостевой в основную сеть, включил их опять — и заработало уже как надо, с ограничениями. Что это было — «уму не растяжимо» (С)
            Кстати, после того как поднял систему с контроллером и 3 CAPами, уткнулся в другую проблему — wi-fi клиенты постоянно отваливались от интерфейсов, в логах было полно записей типа «4-way handshake timeout». Проблема довольно часто обсуждаемая, но курение интернетов особого результата дала — кто-то пишет, что это мол наследственная болезнь взаимодействия Микротиков и Apple (но отваливались и ведроиды), у кого-то исправлялась ошибка в момент апгрейда RouterOS, кто-то отключал rts cts и все в таком духе. У меня вылечилось установкой Hw. retries до 7 (другие значения не пробовал), полет стабильный.
            Частоты для CAPов вообще не указывал в конфигурациях CAPSMAN, он их сам раскидывает по каналам. Правила в Access List сначала создал, но потом убрал, пока и без них вполне себе незаметно перекидывает клиентов от точки к точке, пока перемещаешься.

          3. Андрей Торженов Автор записи

            Хорошо что всё заработало!

            Про «4-way handshake timeout» спасибо, учту если столкнусь с такой проблемой.

            На тему Access List… Да, я их тоже создавал, но отключил. Это больше костыль для старых wifi чипов, которые держались до последнего на AP и их нужно было принудительно отбрасывать. Сейчас, с новыми wifi подобные проблемы редко наблюдаются…

  14. Andrey

    Андрей, добрый день. Есть настроенный capsman на 2х hap ac lite, необходимо подключить еще один без проводов по 5 GHz. Подскажите пожалуйста вариант подключения.

    1. Андрей Торженов Автор записи

      Здравствуйте!

      Можно вывести радиомодули на 5ггц из под управления CAPsMAN и использовать их только для организации соединения точка-точка между двумя MT (радио мост).
      В этом случае у вас не будет 5 ггц для клиентов (точнее будет, но только на одном из трёх MT).
      Радиомост в этом случае настраивается как обычно (CAPsMAN не используется).
      Пример: https://lantorg.com/article/nastrojka-mikrotik-dlya-soedineniya-tochka-tochka

  15. Слава Лухманов

    Огромное спасибо за статью! Настолько подробную и простую, что я наконец-то почти понял Mikrotik! 🙂 Вы проделали огромную работу (радует обилие и скриншотов и терминальных команд), спасибо за титанический труд! И очень здорово, что информация актуальна — последние уточнения и обновления. Статья живет и пополняется, а не морально устаревает, как бывает на просторах интернета по истечении пары лет/месяцев… Mikrotik — очень крутая штука, и постоянно что-то новое они допиливают/обновляют/внедряют. Полюбил их оборудование и ROS с первого опыта общения. Очень здорово, что есть такие люди как вы, которые разжевывают сложные моменты нам — простым обывателям 🙂
    Еще раз спасибо за статью! Добавлена в закладки, отправлена другим админам/любителям, ресурс однозначно ценный, будет регулярно посещаться в будущем!

  16. Sobalich

    Здравствуйте, Андрей!

    Подскажите, пожалуйста, некоторые нюансы настройки RB962UiGS-5HacT2HnT и RBwAPG-5HacT2HnD. Первый раз настраиваю такое оборудование. Версия прошивки 6.41.4 на обоих.
    Я так понимаю что пакет wireless-cm2 называется теперь wireless.
    1. Я получай внешний IP по кабелю от DHCP провайдера соответственно автоматически. В настройках по умолчанию ether1 не входит в бридж т.к. как я понимаю это порт WAN. В вашей статье его предлагается включить в бридж, но в это случает как будет организовываться роутинг или у вас другой случай?
    2. В конце настройки при передачи управления CAPsMANу требует включить сертификаты. После включения вайфай отрубаеться полностью.

    1. Sobalich

      Дополнение.

      При передачи управления wlan CAPsMAN (Lock to CAPsMAN) если поле Certificate оставить NONE то выдает ошибку «Could`t change CAP- can not to CAPsMAN whitout certificate (6)

      Если в CAPsMAN сертификати выставить его в Wireless при привязки к CAPsMAN-у nj wifi просто отключается в интерфесах и при попытки включить выдает что интерфейсами управляет CAPsMAN.

      1. Sobalich

        Вы не поверите. 🙂 Все заработало после того как на RB962 я активировал режим CAPsMAN кнопкой. (включай в сеть и держи 10 секунд).
        При подключению через winbox выдало окошко которое мне сообщило что устройство работает с режиме CAPsMAN.

        О майн гот 🙂

  17. Sobalich

    Новая проблема CAPSMAN заработал, но теперь клиенты не получают IP.
    Пытался в разделе IP настроить DHCP ничего не изменилось.
    Где это настраивать?

    Спасибо большое за ответ и за статью!

Добавить комментарий