-
slavawsk
- Сообщения: 2
- Зарегистрирован: 22 дек 2016, 12:44
Здравствуйте!
Сделал wi-fi сеть с контроллером CapsMan. Все микротики, которые подключены по кабелю к контроллеру замечательно зашли в капсман и работают отлично, wlan на самом контроллере заходить в capsman не хочет. Висит на этапе -managed by capsman и все. Иногда его пробивает и он цепляется нормально, появляется новый capsman интерфейс и все хорошо, но потом снова отключается. Сейчас даже не цепляется вообще. В discovery interfaces пробовал указывать все по очереди — не работает. Прошивка у всех устройств одинаковая 6.40.4. В роли контроллера RB2011UiAS-2Hnd . Прошу прощения за кривость изложения. Спасибо, тем кто захочет помочь.
-
podarok66
- Модератор
- Сообщения: 4260
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
28 дек 2017, 19:41
Код: Выделить всё
/interface wireless cap
set bridge=bridge1 caps-man-addresses=192.168.100.10 certificate=none discovery-interfaces=bridge1 enabled=yes interfaces=Mikrotik lock-to-caps-man=no static-virtual=no
Вот у меня работает на одной из точек RB951 с такими настройками
Сам CAPsMAN
Код: Выделить всё
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=Ce frequency=2437 name=channel1 tx-power=17
/caps-man security
add name=security1
/caps-man configuration
add channel=channel1 channel.band=2ghz-g/n channel.control-channel-width=20mhz channel.extension-channel=C
channel.frequency=2437 channel.tx-power=17 country=no_country_set datapath=datapath1 datapath.bridge=
bridge1 datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes mode=ap multicast-helpe
full name=Conf1 rx-chains=0,1,2 security=security1 ssid=Mikrotik tx-chains=0,1,2
/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name=datapath1
/caps-man interface
add arp=enabled comment=Home configuration=Conf1 disabled=no l2mtu=1600 mac-address=D4:CA:6D:CA:35:21
master-interface=none mtu=1500 name=cap1 radio-mac=D4:CA:6D:CA:35:21
add arp=enabled comment=TV-Host configuration=Conf1 disabled=no l2mtu=1600 mac-address=D4:CA:6D:90:41:64
master-interface=none mtu=1500 name=cap2 radio-mac=D4:CA:6D:90:41:64
/caps-man manager
set enabled=yes upgrade-policy=require-same-version
/caps-man provisioning
add action=create-enabled master-configuration=Conf1
Уж не знаю, насколько верны эти настройки, но как бы работает, причем давно. Я туда не влезаю и мне хорошо 
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? … Тогда Netinstal’ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем…
-
slavawsk
- Сообщения: 2
- Зарегистрирован: 22 дек 2016, 12:44
29 дек 2017, 12:29
podarok66 писал(а):
Код: Выделить всё
/interface wireless cap
set bridge=bridge1 caps-man-addresses=192.168.100.10 certificate=none discovery-interfaces=bridge1 enabled=yes interfaces=Mikrotik lock-to-caps-man=no static-virtual=noВот у меня работает на одной из точек RB951 с такими настройками
Сам CAPsMANКод: Выделить всё
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=Ce frequency=2437 name=channel1 tx-power=17
/caps-man security
add name=security1
/caps-man configuration
add channel=channel1 channel.band=2ghz-g/n channel.control-channel-width=20mhz channel.extension-channel=C
channel.frequency=2437 channel.tx-power=17 country=no_country_set datapath=datapath1 datapath.bridge=
bridge1 datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes mode=ap multicast-helpe
full name=Conf1 rx-chains=0,1,2 security=security1 ssid=Mikrotik tx-chains=0,1,2
/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name=datapath1
/caps-man interface
add arp=enabled comment=Home configuration=Conf1 disabled=no l2mtu=1600 mac-address=D4:CA:6D:CA:35:21
master-interface=none mtu=1500 name=cap1 radio-mac=D4:CA:6D:CA:35:21
add arp=enabled comment=TV-Host configuration=Conf1 disabled=no l2mtu=1600 mac-address=D4:CA:6D:90:41:64
master-interface=none mtu=1500 name=cap2 radio-mac=D4:CA:6D:90:41:64
/caps-man manager
set enabled=yes upgrade-policy=require-same-version
/caps-man provisioning
add action=create-enabled master-configuration=Conf1Уж не знаю, насколько верны эти настройки, но как бы работает, причем давно. Я туда не влезаю и мне хорошо
Спасибо за ответ! На самом деле все решилось проще, нужно было сделать разрешающее правило фаервола на input на самом контроллере. Я думал что можно не прописывать разрешение на подключение к самому себе, но как ни странно только после этого все заработало как надо.
I’m new to RouterOS and love its capabilities — but for the heck I don’t find the reason why this won’t work (anymore).
I would love to hear any input on my issue!
Strangely all worked perfectly until the FireTV-stick couldn’t connect anymore to the Capsman managed 5Ghz Wifi and during my attempts to get it working again all just got to this point.
Problem: Clients can connect to unmanaged, local Wlan on AP (get IP, can access network/WAN), but not to Wlan managed by Capsman (provided by same AP). Apparently the AP clients don’t get an IP in the Wlan managed by Capsman.
My configuration:
Router (hp ac3) ethernet5 connected to ethernet1 of AP (cap ac).
Config Router: pretty standard configuration with bridge on ethernet2-5 and wlans, dhcp-server running on this bridge
Config AP: I guess not so standard configuration — I want that the AP does not operate its own DHCP-Server but obtains IPs from the Router for its clients. So that there is one IP-range covering the whole network of the router and the AP and all clients can see eachother.
Therefore, I modified the defconf defined bridge on the AP (originally covers ethernet2 and wlans) to include ethernet1, disable the Firewall rules that limit traffic to/from ethernet1 and disabled the default configured DHCP-Server of the bridge. In IP-Adresses, the 192.168.88.1 address is disabled for the AP (so to not collide with the router which sits at this address).
With this configuration, clients can connect to the unmanaged wlan provided by the AP, but not to the Capsman managed Wlan. For the CAPsman managed Wlan the clients don’t get an IP.
More strange things — in Capsman of the router, in tab Remote Cap, no IP address is shown for the AP — only its MAC address. In the leases of the DHCP-server of the router, the AP shows an IP. The AP is also reachable at this IP.
More strange things #2: In the router log I see following error: «removing stale connection [IP of AP] because of ident conflict with [MAC of IP]»
More strange things #3: in the AP log files I see an error from the DHCP-client saying «temporary moving client ether1 from slave to master port, update your config!!!». However, I cannot find anything on how to change that.
Router OS 6.47.7 on both Router and AP.
Capsman configured following «Manual:Simple CAPsMAN setup» with only one 5GHz Wifi SSID defined for now.
Всем привет!
Приобрел hap ac 2 и и пытаюсь им заменить hap ac lite. До этого настраивал CAPsMAN на hap ac lite (в паре с 2 WAP ac) (опираясь на https://2keep.net/mikrotik-capsman-v2-hap-ac-lite/) но с hap ac 2 столкнулся с проблемой что он он видит в CAPsMAN собственые wi-fi интерфейсы. WAP AC нормально видится и подхватывает конфигурацию а сам hap ac 2 — не видит. Ниже конфиг
# may/02/2018 22:48:44 by RouterOS 6.42.1
# software id = CK3K-T5I3
#
# model = RouterBOARD D52G-5HacD2HnD-TC
# serial number = 8A2A08B1335C
/caps-man channel
add band=2ghz-onlyn control-channel-width=20mhz extension-channel=disabled
frequency=2412 name=lefoss-2.4g-1F tx-power=20
add band=2ghz-onlyn control-channel-width=20mhz extension-channel=disabled
frequency=2437 name=lefoss-2.4g-2F tx-power=20
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ce
frequency=5180 name=lefoss-5g-1F tx-power=20
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ce
frequency=5220 name=lefoss-5g-2F tx-power=20
/interface bridge
add admin-mac=CC:2D:E0:C2:CE:DB auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] name=ether1-tlstar-optic-source
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1-tlstar-optic-source
name=pppoe-tlstar-internet password=yyyy use-peer-dns=yes user=xxxx
/interface wireless
# managed by CAPsMAN
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce
distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-C2CEDF
wireless-protocol=802.11
# managed by CAPsMAN
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=
20/40/80mhz-Ceee distance=indoors frequency=auto mode=ap-bridge ssid=
MikroTik-C2CEE0 wireless-protocol=802.11
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=yes name=
lefoss-datapath
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm
group-key-update=10m name=lefoss-security passphrase=papa&papa
/caps-man configuration
add channel=lefoss-5g-2F country=russia3 datapath=lefoss-datapath mode=ap
name=cfg-5G rx-chains=0,1 security=lefoss-security ssid=lefoss tx-chains=
0,1
add channel=lefoss-2.4g-2F country=russia3 datapath=lefoss-datapath mode=ap
name=cfg-2.4G rx-chains=0,1 security=lefoss-security ssid=lefoss
tx-chains=0,1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.7.150-192.168.7.199
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg-5G
add action=create-dynamic-enabled master-configuration=cfg-2.4G
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge interface=wlan2
add bridge=bridge interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1-tlstar-optic-source list=WAN
add interface=pppoe-tlstar-internet list=WAN
/interface wireless cap
#
set bridge=bridge caps-man-addresses=192.168.7.254 enabled=yes interfaces=
wlan1,wlan2
/ip address
add address=192.168.7.254/24 comment=defconf interface=ether2 network=
192.168.7.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=
ether1-tlstar-optic-source
/ip dhcp-server network
add address=192.168.7.0/24 comment=defconf dns-server=192.168.7.251 domain=
192.168.7.1 gateway=192.168.7.254 netmask=24 ntp-server=192.168.7.251
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.7.254 name=router.lan
/ip firewall filter
add action=accept chain=input comment=
"defconf: accept established,related,untracked" connection-state=
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN"
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy"
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy"
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack"
connection-state=established,related
add action=accept chain=forward comment=
"defconf: accept established,related, untracked" connection-state=
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid"
connection-state=invalid
add action=drop chain=forward comment=
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade"
ipsec-policy=out,none out-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=lefoss-hap-2
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Что самое обидное — сбрасываю hap ac lite и собираю на нем такую же конфигурацию — он свои интерфейся видит.
Изменено 5 мая, 2018 пользователем Terol
Решение найдено
Всем привет!
Приобрел hap ac 2 и и пытаюсь им заменить hap ac lite. До этого настраивал CAPsMAN на hap ac lite (в паре с 2 WAP ac) (опираясь на https://2keep.net/mikrotik-capsman-v2-hap-ac-lite/) но с hap ac 2 столкнулся с проблемой что он он видит в CAPsMAN собственые wi-fi интерфейсы. WAP AC нормально видится и подхватывает конфигурацию а сам hap ac 2 — не видит. Ниже конфиг
# may/02/2018 22:48:44 by RouterOS 6.42.1
# software id = CK3K-T5I3
#
# model = RouterBOARD D52G-5HacD2HnD-TC
# serial number = 8A2A08B1335C
/caps-man channel
add band=2ghz-onlyn control-channel-width=20mhz extension-channel=disabled
frequency=2412 name=lefoss-2.4g-1F tx-power=20
add band=2ghz-onlyn control-channel-width=20mhz extension-channel=disabled
frequency=2437 name=lefoss-2.4g-2F tx-power=20
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ce
frequency=5180 name=lefoss-5g-1F tx-power=20
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ce
frequency=5220 name=lefoss-5g-2F tx-power=20
/interface bridge
add admin-mac=CC:2D:E0:C2:CE:DB auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] name=ether1-tlstar-optic-source
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1-tlstar-optic-source
name=pppoe-tlstar-internet password=yyyy use-peer-dns=yes user=xxxx
/interface wireless
# managed by CAPsMAN
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce
distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-C2CEDF
wireless-protocol=802.11
# managed by CAPsMAN
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=
20/40/80mhz-Ceee distance=indoors frequency=auto mode=ap-bridge ssid=
MikroTik-C2CEE0 wireless-protocol=802.11
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=yes name=
lefoss-datapath
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm
group-key-update=10m name=lefoss-security passphrase=papa&papa
/caps-man configuration
add channel=lefoss-5g-2F country=russia3 datapath=lefoss-datapath mode=ap
name=cfg-5G rx-chains=0,1 security=lefoss-security ssid=lefoss tx-chains=
0,1
add channel=lefoss-2.4g-2F country=russia3 datapath=lefoss-datapath mode=ap
name=cfg-2.4G rx-chains=0,1 security=lefoss-security ssid=lefoss
tx-chains=0,1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.7.150-192.168.7.199
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg-5G
add action=create-dynamic-enabled master-configuration=cfg-2.4G
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge interface=wlan2
add bridge=bridge interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1-tlstar-optic-source list=WAN
add interface=pppoe-tlstar-internet list=WAN
/interface wireless cap
#
set bridge=bridge caps-man-addresses=192.168.7.254 enabled=yes interfaces=
wlan1,wlan2
/ip address
add address=192.168.7.254/24 comment=defconf interface=ether2 network=
192.168.7.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=
ether1-tlstar-optic-source
/ip dhcp-server network
add address=192.168.7.0/24 comment=defconf dns-server=192.168.7.251 domain=
192.168.7.1 gateway=192.168.7.254 netmask=24 ntp-server=192.168.7.251
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.7.254 name=router.lan
/ip firewall filter
add action=accept chain=input comment=
"defconf: accept established,related,untracked" connection-state=
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN"
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy"
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy"
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack"
connection-state=established,related
add action=accept chain=forward comment=
"defconf: accept established,related, untracked" connection-state=
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid"
connection-state=invalid
add action=drop chain=forward comment=
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade"
ipsec-policy=out,none out-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=lefoss-hap-2
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Что самое обидное — сбрасываю hap ac lite и собираю на нем такую же конфигурацию — он свои интерфейся видит.
Изменено 5 мая, 2018 пользователем Terol
Решение найдено
-
gvov
- Сообщения: 1
- Зарегистрирован: 04 фев 2022, 14:54
CAPSMAN no Supported channel
Здравствуйте.
Есть mikrotik 4011 — capsman
hap-ac2 — точки доступа в режиме бриджа
прошивка — 6.48.6 — текущий long term
2GHz работает
5GHz — выдает ошибку no Support channel и не работает, куда копать?
пробовал по мануалам и все не обязательные настройки указывать вручную и оставлять пустыми, в том числе регион, частота.
Пробовал удалить все настройки capsman и настроить заново.
Пробовал подключить к роутеру только одну точку доступа. После любых настроек пробовал и с перезагрузками всего оборудования — ничего пока не помогло, в чем может быть дело? На что обратить внимание?
- Вложения
-
- 2022-02-03_10-24-48.png (50.02 КБ) 1375 просмотров
-
Chupaka
- Сообщения: 3631
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
- Контактная информация:
Re: CAPSMAN no Supported channel
Сообщение
Chupaka » 04 фев 2022, 16:04
Здравствуйте.
Ну, я бы попробовал обратить внимание на конфиг CAPsMAN’а. Но у вас в посте его не нашёл…
P.S. В System->RouterBOARD версия Firmware актуальная?
-
Корпич
- Сообщения: 72
- Зарегистрирован: 06 июн 2019, 16:42
Re: CAPSMAN no Supported channel
Сообщение
Корпич » 04 фев 2022, 21:19
gvov писал(а): ↑04 фев 2022, 15:44
5GHz — выдает ошибку no Support channel и не работает, куда копать?
Такую ошибку выдает потому. что Вы пытаетесь ему подсунуть частоты для 2,4 диапазона, соответственно он не может на них работать и ругается 
В провижине рекомендую вместо add action=create-dynamic-enabled использовать add action=create-enabled. Тогда интерфейс создастся один раз и все. Потом его можно открыть и задать все необходимые параметры вручную
-
kardash
- Сообщения: 294
- Зарегистрирован: 27 апр 2017, 22:08
- Откуда: Минск
- Контактная информация:
Re: CAPSMAN no Supported channel
Сообщение
kardash » 22 фев 2022, 12:20
У меня такое было из-за:
1. Точки доступа были блокированы под регион раша 3
2. Была установлена частота не для того региона
3. Разное ПО на точках доступа
4. Ширина канала не поддерживается в данном регионе
-
4rost
- Сообщения: 2
- Зарегистрирован: 27 май 2022, 14:47
Re: CAPSMAN no Supported channel
Сообщение
4rost » 27 июл 2022, 16:01
kardash писал(а): ↑22 фев 2022, 12:20
У меня такое было из-за:
1. Точки доступа были блокированы под регион раша 3
2. Была установлена частота не для того региона
3. Разное ПО на точках доступа
4. Ширина канала не поддерживается в данном регионе
Подскажите (укажите) пожалуйста, где можно прочитать, если написано, как бороться с указанными проблемами? Спасибо!
-
4rost
- Сообщения: 2
- Зарегистрирован: 27 май 2022, 14:47
Re: CAPSMAN no Supported channel
Сообщение
4rost » 28 июл 2022, 15:05
Путем перебора каналов получилось подобрать. В итого получилось — channel: 5500/20-Ceee/ac/…. Country: belarus
Не силен в стандартах частот каналов для стран. Подскажите с такими настройками можно работать в РБ?
-
Chupaka
- Сообщения: 3631
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
- Контактная информация:
Re: CAPSMAN no Supported channel
Сообщение
Chupaka » 04 авг 2022, 15:54
Когда Country выставлена в Belarus — роутер будет работать только на тех частотах и тех мощностях, которые разрешены в Беларуси.
Информацию можно просмотреть вот так:
Код: Выделить всё
/interface wireless info country-info belarusв Терминале
Гвоздём нашей программы будет настройка CAPsMAN v2 на роутере MikroTik – то есть контроллера управления точками доступа. Он позволяет конфигурировать устройства из единого места, назначать каналы и их ширину, SSID, профили безопасности, централизованную блокировку устройств, аутентификация устройств на основе сертификатов, и много другое. Обновлённая версия продукта входит в стандартный пакет RouterOS с версии 6.37. Первой версии не совместима со второй. Для его работы нужен уровень лицензии 4 и выше.
Стоит отметить важный нюанс, если все ваши точки доступа, настроены на получение конфигураций от контроллера, и он по каким-либо причинам не доступен, то все AP прекратят своё вещание до тех пора, пока CAPsMAN не станет доступным.
Содержание
- Схема сети
- Настройка CAPsMAN
- Channels
- Datapath
- Security
- Configurations
- Provisioning
- Включение CAPsMAN
- Настройка AP
- Бесшовный роуминг
- Настройка сертификатов
- 89 вопросов по настройке MikroTik
Схема сети
- RouterOS 6.47.4;
- 192.168.0.0/24 – LAN;
- Mikrotik RB951G-2HnD – CAPsMAN, настроен интернет, DNS, DHCP;
- Mikrotik RB951Ui-2HnD и RB951Ui-2nD (hAP) – точки доступа;
- Устройства подключены по кабелю.
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.
Подключимся на роутер RB951G и выведем действующую конфигурацию:
В General-Bridge входят ehter2-4, ether1 – смотрит в интернет (выход в интернет у нас отсутствует, т.к. для демонстрации решения он нам не понадобится), назначен IP адрес, DNS и NAT.
Все настройки будут производиться в меню CAPsMAN.
Channels
Создадим первый канал на частоте 2412, ширина в 20Mhz, стандарт G и N.
По аналогии создадим шестой и одиннадцатый каналы.
Datapath
Создадим правило, которое будет добавлять в локальный General-Bridge интерфейсы подключённых AP.
- Local Forwarding – если не установлена галочка, значит клиентская AP будет форвардить трафик через контроллер. Если у вас много точек доступа, от 5-10 и на них много клиентов, то для разгрузки лучше включать данную галочку.
- Client to Client Forwarding – данный параметр разрешает обмениваться трафиком между клиентами AP.
Создадим второй Datapath для гостевой сети. В нем отключим обмен данными между клиентами.
Security
Сконфигурируем профиль безопасности для защищённой сети, указав:
- Имя профиля:
- Тип аутентификации;
- Шифрование;
- Пароль.
Настроим второй профиль, для открытой сети, без указания типов шифрования, пароля и т.д.
Configurations
На данном этапе мы создаём конфигурации. Т.к. у нас будет закрытые и открытые сети, то нам понадобятся 2 конфига. Для первого в wireless укажем:
- Имя конфигурации;
- Режим работы;
- SSID;
- Место нахождения;
- Hw. Protection Mode;
- Страна;
- Максимальное количество клиентов.
Откроем Datapath и выберем первый.
Профиль безопасности так же нужен первый.
Создадим второй конфиг с незначительными изменениями.
Datapath и Security Profile выберем вторые.
Provisioning
Задаём параметры для Provisioning. Идентифицировать клиента мы будет по IP адресу, но можно и по имени (System — Identity), а также MAC, но можно и все вместе. Задаём действие – создать динамически и включить, укажем основной и дополнительные конфиги (их может быть до 32-ух, это ограничение RouterOS).
Action могут быть различные:
- None – ничего не делать;
- Create enabled – в этом случае создаются статические интерфейсы;
- Create disabled – создать и выключить;
- Create dynamic enabled – используется для тестирования, после чего рекомендуется прибить гвоздями Create enabled.
Включение CAPsMAN
Столько мучений, ради одной заветной галочки.
Настройка AP
Подключимся к микротику RB951Ui-2HnD и взглянем на его настройки. Ничего особенного. Имеем бридж и адрес на нем.
Для получения конфига, перейдём в Wireless – CAP:
- Включаем CAP;
- Interface – тот, на котором будет применены настройки;
- CAPsMAN Address – указываем адрес контроллера, для обеспечения резервации можно указать несколько, если таковы у вас имеются;
- Bridge – тот мост, в который добавятся созданные интерфейсы с полученный конфигураций с контролера.
Обратите внимание, что wlan1 отключён.
В качестве примера, мы добавляем и WiFi-1 и WiFi-2-Guest в общий бридж. В реальной жизни так делать, конечно, не надо. Следует разделить все по VLAN: основной сети, гостевой и management vlan.
Как вы видите, появился соответствующий комментарий, теперь данной AP управляет контроллер.
После того как прилетят настройки, мы их увидим в описании каждого интерфейса. Но внимательный читатель заметит, что конфиг немного не тот, что указывали выше, в частности канал, согласно параметрам нам должен был прилететь 2412, а по факту 2452. Исправим это на контроллере. На вкладке CAP Interface мы видим все успешно подключённые клиентские AP. Флаг D означает – динамический.
Превратим их в статические и зададим корректные каналы. Двойным кликом открываем cap1, жмём copy.
В скопированном интерфейсе указываем корректный канал, datapath, cfg и security.
После применения, оба интерфейса пропадут и останется в нашем случае cap3. Переименуем его в понятное имя.
После сохранения снова копируем. Задаём корректное имя для WiFi-2-Guest и выбираем Master Interface
Указываем соответствующий конфиг, канал, datapath и профиль безопасности.
Список CAP интерфейсов должен быть следующий.
На клиенте теперь нужно выключить и включить CAP в Wireless. Вот теперь все в порядке.
Создадим provisioning для RB951Ui-2nD (hAP) изменив IP Address Ranges, или указав Radio MAC, в качестве эксперимента попробуем этот вариант (в реальной жизни, старайтесь соблюдать единообразие конфигов). Этот тот самый MAC, который светится в настройках конкретной карточки.
Теперь включим CAP на RB951Ui-2nD (hAP).
Снова проблемы с каналами. Проделаем такой же трюк с копированием интерфейсов, необходимо изменить частоту согласно channel6. Не забываем про профили безопасности, datapath и cfg.
После выключения/включения CAP, должны получить правильный конфиг.
У нас остался третий девайс, это сам контроллер. Да-да, он может быть так же сам для себя им.
Итого у нас есть 3 девайса, на разных каналах, на каждом по 2 AP с разным SSID. Проверим это!
Бесшовный роуминг
Интернет пестрит громкими фразами вида «настройка бесшовного wifi (роуминг) на микротик», но чудес не бывает, и это на самом деле псевдо бесшовный роуминг. Для бесшовности в прямом смысле этого слова, вам понадобится протокол 802.11R, реализация которого отсутствует на устройствах Mikrotik, его поддерживают другие более дорогие устройства. Куча манов ведут к «тонкой настройке» Access List путём принудительного выбрасывания с точки при определённом уровне сигнала. Так вот, это абсолютно бессмысленно, т.к. при выкидывании с точки вы лишаетесь того самого псевдо роуминга.
Хитрость состоит в том, что нужно грамотно расставить точки доступа. Под грамотно, я понимаю, чтобы уровень сигнала клиентского устройства был в пределах -70-75 и тогда, CAPsMAN увидит, на основе своего анализа, что у вас блин хреновый сигнал, и переключит на ближайшую точку (если она установлена правильно, если сигнал ее лучше и если она вообще есть). Переключение в ДАННОМ случае, будет начинаться со второго этапа аутентификации, а не с первого, т.е. полного, как ели бы вы сделали это выкидыванием клиентов. Это и есть дополнительная, подчёркиваю, дополнительная фича, а не крутая реализация роуминга.
Access List нужен для других целей – блокировка / разрешение доступа к точкам. В контексте CAPsMAN это работает централизованно.
Вы только посмотрите, можно запрещать или разрешать определённым MAC адресам цепляться на конкретных или всех AP.
Начал одним, а закончил другим))), надеюсь теперь все стало понятно.
Настройка сертификатов
К сожалению, первая версия имела изъяны, и без труда можно было прикинуться AP. Ситуация изменилась с появлением сертификатов и улучшенных механизмов работы. Не будем заострять внимание на генерации сертификатов, это, пожалуй, отдельная тема, тем более их можно создавать, не отходя от кассы. Но имейте в виду, что они сгенерятся на максимально возможны срок.
Открываем Manager, в Certificate и CA Certificate ставим значение auto.
После применения, роутер сгенерировал CA и сертификат для роутера. Укажем их вместо auto в выпадающем списке.
Подключаемся к Mikrotik RB951Ui-2HnD, открываем CAPsMAN в Wireless, в строке Certificate выбираем auto.
После чего, клиент отправит на контроллер запрос сертификата и получит его. Следом меняем auto на выданный сертификат из выпадающего списка. Так же рекомендую указать CAPsMAN Certificate Common Name. Ставя галочку Lock To CAPsMAN, мы жёстко привязываемся. Но если вы отзовёте сертификат контроллера, то точки перестанут работать.
Если все хорошо, то конфиг прилетит без проблем. Проделываем то же самое для остальных AP. После чего на контроллере ставим галочку Require Peer Certificate.
Теперь принудительно требуем у точек наличие сертификата.
Чтобы не городить все в один или разные бриджи, прочтите нашу статью «Настройка VLAN на микротиках» для красивого разрезания сетей на VLAN.
Удачных конфигов.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдёте для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
Добрый день!
Давно используем на небольшой сети в пару тысяч человек Ubilling в связке с NAS Mikrotik по API. В какой момент появилась проблема что каждое первое число, после того как по отключает должников, не всех оплативших услугу (либо поставивших кредит) в течении дня подключает назад, точнее в самом биллинге все хорошо, не переключается в статус enabled правило адрес-листе на микротике. Таких невезучих +/- пару десятков на пару сотен должников, системности никакой нету, учетные записи разные. Происходит только первого числа и примерно где только в первой половине дня, потом все отрабатывает нормально до конца месяца. Ручной ресет такого «невезучего» исправляет ситуацию. После чего появилась проблема уже сказать невозможно, уже долгое время в ручном режиме исправляем проблему.
При анализе stargazer.log никаких аномалий, по таким абонентам нету, а от уже в allconnect.log у таких абонентов тишина, вызовов OnConnect после оплаты нету, как и каких либо ошибок.
Собственно вопрос куда можно копать дальше и сталкивался ли кто с такой проблемой?
Ubilling стоит на FreBSD 13.1 (виртуалка) версии 1.3.7