Основной акцент нашего руководства – настройка контроллера CAPsMAN v2 на устройстве MikroTik для управления точками доступа. Этот инструмент предоставляет удобство в управлении точками доступа из одного централизованного интерфейса, позволяя определять каналы, их ширину, SSID, параметры безопасности, централизованное управление устройствами, а также аутентификацию на основе сертификатов и многие другие функции. CAPsMAN v2 был введен в стандартный комплект RouterOS начиная с версии 6.37 и несовместим с первой версией. Для работы с ним необходим уровень лицензии 4 или выше.
Необходимо учесть один важный момент: если точки доступа настроены на получение параметров от контроллера и по каким-то причинам контроллер становится недоступным, все точки доступа останавливают свою работу до момента, когда CAPsMAN снова будет онлайн.
Структура сети
- ОС: RouterOS 6.47.4
- Локальная сеть: 192.168.0.0/24
- Mikrotik RB951G-2HnD функционирует как CAPsMAN, интернет, DNS, и DHCP уже настроены
- Точками доступа служат устройства: Mikrotik RB951G-2HnD и RB951Ui-2nD (hAP)
- Все устройства соединены между собой через кабель
Настройка CAPsMAN
Произведем подключение к роутеру RB951G и проверим текущие настройки:
В разделе General-Bridge включены порты ehter2-4. Порт ether1 направлен на подключение к интернету (хотя в данной демонстрации прямого подключения к интернету нет, так как это не требуется для нашего примера). Также настроены IP-адрес, DNS и NAT.
Все конфигурации будут выполняться через меню CAPsMANКаналы
Сформируем первый канал с частотой 2412, пропускной способностью 20Mhz и стандартами G и N
Таким же образом настроим шестой и одиннадцатый каналы
Доступ к данным
Сформулируем директиву для интеграции интерфейсов подключенных точек доступа в общий мост General-Bridge.
Local Forwarding – если опция не активирована, тогда трафик от клиентской AP будет направляться через контроллер. Для сетей с большим количеством точек доступа (5-10 и более) и многими подключенными клиентами рекомендуется активировать эту опцию для оптимизации работы сети.
Client to Client Forwarding – этот параметр позволяет клиентам точки доступа взаимодействовать между собой напрямую.
Сформируем Datapath для гостевой сети, где обмен данными между клиентами будет отключен
Безопасность
Настроим профиль безопасности для сети с защитой, учитывая:
- Наименование профиля
- Метод аутентификации
- Тип шифрования
- Пароль
Настройка дополнительного профиля для публичной сети, без задания методов шифрования, ключей доступа и прочего
Настройки
На этом этапе производим настройку параметров. Так как у нас предусмотрены как защищенные, так и публичные сети, нам потребуются две конфигурации. Для первой в разделе беспроводной связи указываем:
- Название конфигурации
- Режим функционирования
- SSID
- Локация
- Предпочитаемый режим безопасности
- Диапазон
- Ограничение по количеству пользователей
Перейдем в раздел Datapath и выберем первую конфигурацию
Необходимо выбрать первый профиль безопасности
Сформируем вторую конфигурацию с небольшими отличиями
Для Datapath и Security Profile выберем вторые в списке
Обеспечение
Устанавливаем параметры для инициализации. Клиенты будут идентифицироваться по IP-адресу, хотя возможны и другие варианты, например, по имени системы или MAC-адресу, или комбинация всех вариантов. Определяем действие: создать динамически и активировать, указываем основную и дополнительные конфигурации (их максимальное количество ограничено 32 по RouterOS).
Доступные действия:
- None – без действий
- Create enabled – создаются статические интерфейсы
- Create disabled – создание в неактивном состоянии
- Create dynamic enabled – применяется для первоначальных проверок, после которых рекомендуется переключиться на Create enabled
Активация CAPsMAN
Так много усилий всего для одной ценной галочки
Настройка AP
Подсоединимся к MikroTik RB951Ui-2HnD и рассмотрим его конфигурацию. Всё стандартно. Обнаружен мост и IP-адрес на нём
Чтобы применить конфигурацию, перейдите в раздел Wireless – CAP:
- Активируйте CAP
- Interface – интерфейс, к которому будут применены настройки
- CAPsMAN Address – укажите адрес контроллера. Если у вас есть резервные адреса, можно указать их
- Bridge – мост, к которому будут добавлены интерфейсы с конфигурацией, полученной от контроллера
Обратите внимание, что wlan1 отключён.
Как иллюстрация, мы включаем WiFi-1 и WiFi-2-Guest в один и тот же бридж. На практике, это не рекомендуется. Лучше разделить сети с помощью VLAN: для основной, гостевой и управляющей сети.
Как можно заметить, появился соответствующий комментарий, теперь этой точкой доступа управляет контроллер.
После получения настроек, их детали станут видны в описании каждого интерфейса. Однако внимательный наблюдатель увидит, что конфигурация отличается от указанной ранее, в частности, частотный канал. Вместо ожидаемого 2412 мы видим 2452. Давайте скорректируем это на стороне контроллера. В разделе CAP Interface отображены все успешно подключенные клиентские AP. Отметка D указывает на динамический статус.
Преобразуем их в статические и укажем правильные частотные каналы. Чтобы это сделать, откроем cap1 двойным кликом и выберем копировать.
В дублированном интерфейсе устанавливаем правильный канал, datapath, конфигурацию и профиль безопасности.
После применения изменений, оба интерфейса исчезнут, и в нашем списке останется только cap3. Дадим ему более интуитивное название.
После подтверждения изменений, снова создаем копию. Присваиваем ей понятное имя, например «WiFi-2-Guest», и указываем основной интерфейс.
Выбираем соответствующую конфигурацию, задаём нужный канал, путь данных (datapath) и настраиваем профиль безопасности.
Список интерфейсов CAP должен выглядеть следующим образом
На устройстве клиента необходимо деактивировать и затем активировать CAP в разделе Wireless. Теперь все настроено корректно
Сформируем настройки для RB951Ui-2nD (hAP), изменив диапазон IP-адресов или укажем MAC-адрес радиомодуля. В качестве теста используем второй метод (хотя в реальной ситуации лучше придерживаться стандартного подхода). Этот MAC-адрес отображается в параметрах указанного устройства.
Теперь активируем CAP на устройстве RB951Ui-2nD (hAP)
Снова столкнулись с проблемой каналов. Повторим предыдущие действия по копированию интерфейсов и корректируем частоту в соответствии с channel6. Учтем настройки профилей безопасности, datapath и cfg.
После перезагрузки CAP, конфигурация должна быть корректной.
У нас еще остается одно устройство - контроллер. Да, он также может функционировать как точка доступа для себя самого.
В итоге у нас три устройства, работающие на различных каналах, и на каждом из них две точки доступа с различными SSID. Давайте это проверим!
Бесперебойный роуминг
Интернет полон заявлений на тему «настройка бесперебойного Wi-Fi (роуминг) на MikroTik», но реальность такова, что это лишь иллюзия безшовного роуминга. Для истинно бесшовного подключения необходим протокол 802.11R, которого нет в устройствах MikroTik, но который поддерживается другими, более дорогими устройствами. Многие руководства направляют нас на «тонкую настройку» Access List с целью принудительного отключения клиента при достижении определенного уровня сигнала. Однако такой подход лишает пользователя возможности псевдо роуминга.
Ключевой момент заключается в правильной расстановке точек доступа. Под «правильно» имеется в виду, чтобы сигнал до клиентского устройства был в диапазоне -70-75 дБм. В этом случае CAPsMAN определит, что качество сигнала у вас недостаточное, и переключит вас на ближайшую доступную точку (если она корректно установлена и ее сигнал лучше). Переключение в этой ситуации произойдет на втором этапе аутентификации, а не с самого начала, что делает процесс быстрее, чем при принудительном отключении. Это дополнительная функция, а не полноценная реализация роуминга.
Access List используется для других целей, таких как управление доступом к точкам. В рамках CAPsMAN такое управление осуществляется централизованно.
Посмотрите, есть возможность разрешать или запрещать подключение к определенным или всем точкам доступа для конкретных MAC-адресов.
Мы начали с одного подхода и перешли к другому. Надеемся, что теперь все стало яснее для вас.
Настройка сертификатов
К сожалению, первоначальная версия имела недостатки, что позволяло легко имитировать работу AP. Однако с введением сертификатов и усовершенствованием механизмов эта проблема была решена. Не будем углубляться в процесс генерации сертификатов – это достойная отдельного рассмотрения тема. Кроме того, их можно легко создать прямо в системе. Но стоит помнить, что они будут созданы на максимальный допустимый срок.
Перейдите в Manager, затем в разделы Certificate и CA Certificate, где следует выбрать опцию auto.
После подтверждения настроек, роутер создаст CA и сертификат для себя. Выберите их из выпадающего списка вместо предыдущего значения «auto»
Подключитесь к Mikrotik RB951Ui-2HnD, перейдите в раздел CAPsMAN в меню Wireless и в поле Certificate установите значение «auto»
После этого, клиентская сторона отправит запрос на контроллер для получения сертификата. Как только сертификат будет получен, измените значение «auto» на название полученного сертификата в выпадающем списке. Рекомендуется также задать значение для CAPsMAN Certificate Common Name. Активируя опцию Lock To CAPsMAN, вы создаете строгую привязку к контроллеру. Однако, если вы аннулируете сертификат контроллера, точки доступа перестанут функционировать.
Если все прошло успешно, конфигурация будет применена без ошибок. Примените аналогичные действия для всех остальных точек доступа. Затем, на контроллере, активируйте опцию «Требовать сертификат участника» (Require Peer Certificate).
Теперь мы устанавливаем обязательное условие наличия сертификата для точек доступа.
Желаем успешных настроек!
