Home » Mikrotik » Бесшовный wifi роуминг с помощью capsman в Микротик

Бесшовный wifi роуминг с помощью capsman в Микротик

Уже не раз я касался темы интересных и многофункциональных роутеров, подходящих для дома, малого и среднего бизнеса. Сегодня рассмотрим настройку в mikrotik функционала capsman для создания единой бесшовной wifi сети, состоящей из множества точек доступа. Я уже дважды писал об этом, но прошло несколько лет с момента последнего обновления статьи. Пришло время ее актуализировать в очередной раз.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курcе по администрированию MikroTik. Автор курcа, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Введение

Как я уже сказал, у меня есть материал на тему настройки capsman в mikrotik. В наше время в связи со скоростью развития информационных технологий информация очень быстро устаревает. И хотя статья все еще актуальна, ее регулярно читают и используют, сейчас есть что к ней добавить.

Вышла новая версия технологии Controlled Access Point system Manager (CAPsMAN) v2. Я расскажу немного о ней. В своей работе буду опираться на опыт предыдущей статьи и на официальный Manual:CAPsMAN с сайта производителя микротиков.

В моем распоряжении будут 2 роутера wAP ac, которые настроены в соответствии с моими инструкциями на эту тему. Рекомендую на всякий случай ознакомиться с ними, чтобы было общее представление о базовых настройках роутеров. На одном из этих роутеров я настрою контроллер точек доступа, другую подключу к этому контроллеру. Обе точки образуют единую бесшовную wifi сеть с автоматическим переключением клиентов к ближайшей точке.

Примера из двух точек доступа будет достаточно для общего представления о работе технологии. Дальше эта настройка линейно масштабируется на необходимое количество точек доступа.

Что такое capsman v2

Capsman - технология для организации диспетчера (CAPsMAN) управляемых точек доступа. С его помощью можно централизованно управлять множеством беспроводных точек доступа (CAPs), объединяя их в единую беспроводную wifi сеть. Контроллер обеспечивает в том числе аутентификацию клиентов сети. Для точек требуется минимальная настройка. Достаточно указать адрес контроллера сети и они все необходимые настройки получат от него. Сами же точки выполняют только транспорт и шифрование пакетов от клиента к контроллеру.

Теперь расскажу, что такое capsman v2 и чем он отличается от первой версии. Сразу стоит сказать, что совместимости между двумя версиями нет. Если у вас контроллер v2, то к нему могут подключаться только точки доступа с такой же версией. И наоборот - если у вас точки v2, подключиться к контроллеру первой версии не получится. Сейчас это не очень актуальная информация, так как версия v2 вышла несколько лет назад и везде используется именно она. Такое предостережение было актуально на момент релиза v2 и переходного периода.

В момент появления в RouterOS функционала CAPsMAN v2, он был включен в отдельный пакет wireless-cm2, для того, чтобы не пересекаться с предыдущей версией. Это случилось в RouterOS v6.22rc7. У предыдущей версии capsman было название пакета - wireless-fp, он появился в версии v6.11. Далее в версии 6.37 capsman v1 был удален из системы и остался только один пакет wireless, в котором реализован функционал капсман второй версии. С тех пор путаницы с именами пакетов больше не возникает. Так что если у вас какая-то древняя версия прошивки, обновите ее.

Список нововведений capsman v2:

  • Возможность автоматически обновлять управляемые точки доступа.
  • Усовершенствован протокол обмена информацией между контроллером и точками доступа.
  • Добавлены поля "Name Format" и "Name Prefix" в настройках Provision rules.
  • Улучшено логирование процесса переключения клиента от точки к точке.
  • Добавлен L2 Path MTU discovery.

Если у вас в сети уже настроен capsman прошлой версии, то разработчики предлагают следующий путь обновления всей вашей сети до v2:

  1. Настраиваете в исходной сети временный контроллер capsman v2.
  2. Начинаете постепенно обновлять управляемые точки доступа. Все обновленные точки доступа будут подключаться к временному контроллеру.
  3. После того, как все управляемые точки доступа будут обновлены до последней версии, обновляете основной контроллер capsman. После того, как это случится, выключаете временный контроллер.

Есть более простой путь, если вам не критичен простой сети на некоторое время. Одновременно запускайте обновление на всех роутерах - и на контроллере и на точках. Как только они обновятся, все заработает на новой версии.

Сразу предупреждаю, если возникнут вопросы на эту тему. Я лично не проверял обновление до версии v2, не было в этом необходимости.

Системные требования и ограничения

Для настройки контроллера Capsman не обязательно наличие wifi интерфейса на устройстве. Так что в его качестве может выступать и виртуальная машина с установленной RouterOS. Единственное условие - уровень лицензии не ниже Level4. Как я уже раннее сказал, версия системы не ниже v6.22rc7. Вряд ли у кого-то еще такая древность осталась, так что требование чисто формальное.

Ограничение технологии Capsman:

  1. Максимум 32 беспроводных интерфейса на управляемой точке доступа (CAP - Controlled Access Points).
  2. Не более 32-х виртуальных интерфейсов на основной беспроводной интерфейс.

Capsman vs Mesh

Есть похожая технология, в том числе у Микротик - Mesh. Я ее использовал для организации единой wifi сети еще до появления Capsman. Работала она на первый взгляд не хуже, хотя дальше тестовых настроек и простых эксплуатаций из двух точек у меня дело не заходило. Попробую разобраться, в чем их отличие.

Mesh сеть - это распределенная одноранговая сеть, где все узлы сети равны, то есть это технология децентрализованной сети. Уже видно различие, так как в Capsman присутствует контроллер, используется централизованное управление точками. Причем отличие это принципиальное и самое главное. Наличие контроллера упрощает управление и конфигурирование. Очевидно, что из одного места это делать проще. Но в то же время контроллер является единой точкой отказа, хотя его и можно зарезервировать.

В Mikrotik настройка Capsman реализована очень просто и удобно, что я продемонстрирую далее на примерах. Для меня это очевидный плюс. Настраивается все буквально за 10 минут и работает надежно. Возможно, у вас что-то и не получится в первый раз, но если освоитесь, то проблем не будет. Сразу могу сказать, что вы не получите полноценный бесшовный роуминг, как может вам пообещать какое-то описание. Переподключение клиентов от точки к точки происходит, что приводит к задержке соединения на 1-2 секунды. Имейте это ввиду.

Собственно, простота и удобство настройки capsman меня сразу же подкупили. С тех пор, как я познакомился с ним, всегда использую для построения распределенных wifi сетей. Про mesh больше не вспоминал. Если я правильно понимаю, основное преимущество mesh - высокая отказоустойчивость, когда все точки равнозначны. Но чтобы эту отказоустойчивость получить, нужны множественные связи между точками. А чаще всего сеть строится в топологии звезда, когда все зависимые точки связываются с одним или двумя контроллерами, но не между собой. Это сильно упрощает монтаж и настройку.

Настройка контроллера wifi сети

Переходим от теории к практике. Первым делом настроим контроллер capsman перед подключением к нему точек доступа. Для этого обязательно удаляем дефолтную конфигурацию устройства. Это точно нужно сделать. Много раз меня просили помочь настроить capsman, когда на первый взгляд все сделано правильно, но точки не соединяются с контроллером. Каждый раз проблема решалась полным сбросом всех настроек, удалением дефолтной конфигурации и настройки с нуля. Я настолько привык так поступать, что делал это всегда. Мне проще было все почистить и настроить за 10 минут с нуля контроллер и точки, чем разбираться, в чем там возникает проблема.

Далее обновляем систему и убеждаемся, что у нас установлен и активирован пакет wireless.

пакет wireless

Чтобы активировать функцию контроллера беспроводной сети, идем в раздел CAPsMAN, нажимаем на Manager и ставим галочку Enabled.

Настройка capsman

Прежде чем продолжить настройку, расскажу немного о принципе работы системы. В сети настраивается контроллер управления точками доступа. К нему подключаются отдельные wifi точки и получают с него настройки. Каждая подключенная точка доступа образует виртуальный wifi интерфейс на контроллере. Это позволяет стандартными средствами управлять трафиком на контроллере.

Наборы настроек на контроллере могут быть объединены в именованные конфигурации. Это позволяет гибко управлять и назначать различные конфигурации разным точкам. К примеру, можно создать группу с глобальными настройками для всех точек доступа, но при этом отдельным точкам можно задать дополнительные настройки, которые будут перезаписывать глобальные.

После подключения управляемой точки к мастеру сети, все локальные wireless настройки на клиенте перестают действовать. Они заменяются настройками capsman v2.

Продолжим настройку контроллера. Создадим новый радиоканал и укажем его параметры. Идем на вкладку Channels, жмем на плюсик и указываем параметры.

Создание Channel

Описание настроек Channels
Name имя канала
Frequency частота в MHz, она же номер канала 1-12
Secondary Frequency вторичная частота для настройки 80+80MHz
Control Channel Width определяет набор используемой ширины канала
Band режим работы
Extension Channel правило расширения канала до 40 МГц. Ce (Above) - расширение по частоте вверх от главного канала, eC (Below) вниз от главного канала
Tx. Power мощность сигнала в Dbm
Save Selected если частота канала выбирается автоматически и используется Reselect Interval, то сохраняется последняя выбранная частота
Reselect Interval интервал, после которого выбирается наименее занятая частота. Работает только если Frequency оставлено пустым
Skip DFS Channels если Frequency оставить пустым, каналы DFS будут пропускаться

Продолжаем настройки на вкладке Datapaths. Жмем плюсик и задаем параметры.

Создание Datapath

Описание параметров Datapath
MTU размер MTU
L2MTU размер Layer2 MTU
ARP режим работы arp
Bridge в какой бридж будет добавлен интерфейс в качестве порта
Bridge Cost значение bridge port cost, используется только если активен параметр bridge
Bridge Horizon значение bridge horizon, используется только если активен параметр bridge
Local Forwarding управляет параметром forwarding mode
Client To Client Forwarding управляет параметром client-to-client forwarding между клиентами управляемой точки доступа, если активен параметр local-forwarding этим параметром управляет сама точка доступа, в противном случае контроллер
Vlan Mode управляет назначением VLAN tag для интерфейса
Vlan Id какой VLAN ID будет назначен интерфейсу, если vlan-mode установлен в use tag
Interface List выбор списка интерфейсов

Переходим к настройкам безопасности. Открываем вкладку Security Cfg. и жмем плюсик.

Создание Securiry Cfg.

Описание настроек Securiry Cfg.
name имя конфигурации
Authentication type выбор типа авторизации
Encryption выбор алгоритма unicast encryption
Group Encryption выбор алгоритма group encryption
Group Key Update как часто точка доступа обновляет групповой ключ
Passphrase WPA or WPA2 pre-shared key
Disable PMKID в документации нет описания, не знаю, что это такое
Eap Methods выбор типа авторизации
Eap Radius Accounting использование авторизации Radius
TLS Mode управление использования сертификата
TLS Certificate выбор сертификата, если его использование активировано в предыдущем параметре

Пришло время объединить созданные ранее настройки в единую конфигурацию. Таких конфигураций может быть несколько с разными настройками. Для примера достаточно и одной. Идем на вкладку Configurations и жмем плюсик.

Создание configuration capsman

На первой вкладке Wireless указываем имя конфигурации, режим ap и имя SSID будущей бесшовной wifi сети. На остальных вкладках просто выбираем созданные ранее настройки.

Основные настройки mikrotik контроллера capsman v2 закончены. Теперь нужно создать правила распространения этих настроек. Как я уже ранее писал, разным точкам можно предавать разные конфигурации. Контроллер может идентифицировать точки доступа по следующим параметрам:

  • Если используются сертификаты, то по полю Common name сертификата.
  • В остальных случаях используются MAC адреса точек в формате XX:XX:XX:XX:XX:XX

Так как в своем случае я не использую сертификаты, создадим правило распространения настроек на основе MAC адреса. А так как у меня единая конфигурация для всех точек, то и правило распространения будет самое простое. Сделаем его. Переходим на вкладку Provisioning и жмем плюсик.

Добавление Provisioning

Описание настроек Provisioning
Radio Mac MAC адрес точки доступа или маска
Hw. Supported Modes подбирает поддерживаемый режим работы wifi
Identity Regexp регулярное выражение для соответствия интерфейса идентификатору маршрутизатора
Commom Name Regexp регулярное выражение для соответствия интерфейса common name маршрутизатора
IP Address Ranges назначает соответствие ip адресов точек указанному диапазону
Action выбор действия с радио интерфейсом после подключения
Master Configuration выбор основной конфигурации, которая будет применена к создаваемому радио интерфейсу
Slave Configuration второстепенная конфигурация, можно подключить еще один конфиг клиентам
Name Format определяет синтаксис названий для создаваемых CAP интерфейсов
Name Prefix префикс для имен создаваемых CAP интерфейсов

В моем примере на скриншоте CAP интерфейсы будут иметь префикс 2G и далее через тире имя устройства. Я так сделал для того, чтобы можно было разделять 2G и 5G сеть, настройкой которой мы займемся отдельно.

На этом базовая настройка контроллера capsman v2 закончена, можно подключать wifi точки доступа к нему.

Подключение точек доступа

В моем повествовании участвуют две точки доступа с адресами 10.1.3.110 (xs-wl-office) и 10.1.3.111 (xs-wl-meeting), соединенные между собой по ethernet кабелю. Первая из них контроллер, вторая простая точка. Обе точки видят друг друга в локальной сети. Wifi интерфейс контроллера так же как и обычной точки подключается к capsman и берет у него настройки. То есть контроллер является одновременно и контроллером и рядовой точкой доступа. Даже комбинация из двух точек организует полноценную бесшовную wifi сеть на всей площади, которую покрывают их радио модули.

Подключение точек доступа CAP к контроллеру CAPsMAN возможно по двум разным уровням - Layer 2 или Layer 3. В первом случае точки доступа должны быть расположены физически в одном сегменте сети (физической или виртуальной, если это L2 туннель). То есть, если по-простому, подключены к одному свитчу. В них не обязательно настраивать ip адресацию, они найдут контроллер по MAC адресу.

Во втором случае подключение будет по протоколу IP (UDP). Нужно настроить IP адресацию и организовать доступность точек доступа и контроллера по IP адресам.

Для начала подключим отдельную wifi точку. Подключаемся к ней через winbox и переходим в раздел Wireless. Там нажимаем на CAP и указываем настройки.

Подключение точки доступа к Capsman

Описание настроек CAP
Interfaces интерфейс, которым будет управлять контроллер
Certificate сертификат для авторизации, если используется
Discovery Interfaces интерфейс, по которому CAP будет искать контроллер
Lock to CAPsMAN привязать точку к конкретному мастеру
CAPsMAN Addresses IP адрес по которому CAP будет искать контроллер
CAPsMAN Names имя контроллера, который будет искать CAP, если не указано ничего, то поиск по имени не осуществляется
CAPsMAN Certificate Common Names список CommonNames сертификатов на контроллере, которые будет проверять CAP при подключении
Bridge bridge, к которому будет подключаться интерфейс, когда включена опция local forwarding
Static Virtual CAP создаст статические виртуальные интерфейсы вместо динамических и попытается повторно использовать тот же интерфейс при повторном подключении к CAPsMAN, если MAC-адрес будет тем же.

В моем случае я не стал указывать ip адрес контроллера, а просто указал бридж, на котором его стоит искать. Тут это бридж, в который объединены все интерфейсы точки. В частности, в этот бридж входит ethernet порт, через который точка доступа подключается к свитчу, в который подключен и контроллер. Если у вас не в одном широковещательном домене точка и контроллер, то Discovery Interfaces оставьте пустым, а в CAPsMAN Addresses введите ip адрес мастера.

Сохраняем настройки и проверяем. Если точка доступа корректно подключится к контроллеру, то на самой точке будет такая картина:

Managed by CAPsMAN

А на контроллере в списке Interfaces появится только что созданный радио интерфейс подключенной точки доступа:

CAP Interface

Интерфейс назван в соответствии с настроенным ранее префиксом.

Если у вас по точка доступа упорно не подключается к контроллеру и вы никак не можете понять, в чем проблема, то первым делом проверьте, удалили ли вы дефолтную конфигурацию при первоначальной настройке точки. Она часто является причиной того, что точка доступа не подключается к capsman контроллеру.

Проделаем теперь то же самое на самом mikrotik контроллере - подключим его wifi интерфейс к capsman v2. Делается это абсолютно так же, как только что проделали на отдельной точке wifi.

Подключение к контроллеру по IP

Для примера, я подключил точку к контроллеру по ip адресу. После подключения смотрим картинку на контроллере. Должно быть примерно так:

Список виртуальных интерфейсов на контроллере

Подключенные точки доступа

Радио интерфейсы на контроллере

Все, основные настройки закончены. Теперь эту конфигурацию можно разворачивать дальше на новые точки доступа и покрывать большую площадь единой бесшовной wifi сетью. Все подключенные клиенты будут отображаться на вкладке Registration Table с указанием точки, к которой они подключены.

Для удобного и наглядного анализа сети рекомендуется придумать осмысленную схему назначения имен точкам доступа и радио интерфейсам.

Режим Local-forwarding

Отдельно рассмотрю настройку local-forwarding. Если он активирован, то всем трафиком клиентов точки доступа управляет сама точка, не контроллер. И большинство настроек datapath не используются, так как до контроллера трафик не доходит. Если этот параметр не установлен, то весь трафик на wifi интерфейсах точек инкапсулируется и отправляется по сети на контроллер. Он виден на его виртуальных интерфейсах. Управляется (firewall, qos и т.д.) в зависимости от настроек.

Обработка трафика на точке более распространенный и простой вариант. В этом случае нагрузка на каналы связи с контроллерами и на сам контроллер минимальна. Так же отключать local-forwarding не рекомендуется, если клиенты wifi сети ходят на какие-то локальные ресурсы, а контроллер у вас совершенно в другом сегменте сети, возможно удаленном с не очень толстым каналом связи. Пускать на него весь трафик клиентов бессмысленно. Это увеличит отклик и забьет канал связи с контроллером. Например, сотрудник пришел в офис и работает за ноутбуком по wifi. При этом активно использует сетевой диск. Вам нет смысла этот трафик гонять на контроллер.

Другой вариант, когда у вас все клиенты wifi сети это обычные пользователи интернета, например, гостевой сети. Никакого локального трафика у них нет. Да еще и сам контроллер находится рядом со шлюзом в интернет. Тогда можно их всех пропускать через Capsman и удобно управлять всем трафиком.

Проверка работы бесшовного wifi роуминга

Теперь можно взять телефон на андроиде, поставить на него программу Wifi Analyzer и походить по всей покрываемой wifi территории, протестировать мощность сигнала, переключение от точки к точке. Переключение происходит не сразу, как только сигнал новой точки будет сильнее предыдущей. Если разница не очень большая, то переключение к новой не произойдет. Но как только разница начинает быть существенной, клиент перескакивает. Эту информацию можно наблюдать на контроллере.

После анализа зоны покрытия можно подкорректировать мощность точек доступа. Иногда может быть полезно настроить разную мощность на разных точках, в зависимости от схемы помещений. Но в общем и целом даже в базовой настройке все работает вполне стабильно и качественно. К данным моделям микротик (wAP ac) могут подключаться и комфортно работать по 10-15 человек. Дальше могут быть нюансы в зависимости от нагрузки. Эти цифры я привел из своих примеров реальной работы.

Настройка capsman c 5 ГГц (ghz)

После того, как разобрались с основной настройкой, расскажу, как добавить в Capsman интерфейсы на 5 Ггц. В целом, ничего особенного делать не надо. Все настройки остаются те же самые, меняем только частоту. Идем в Channel и добавляем еще один канал.

Настройка Capsman 5 Ггц

Далее в Configurations добавляем новую конфигурацию для 5 ГГц, где все делаем по аналогии с 2.4, только указываем другой Channel. И не забываем сделать отдельный SSID для нее.

Channel 5Ггц

Потом создаем Provisioning для 5ghz, указывая новую конфигурацию.

Provisioning для 5ghz

И все. Теперь идем на точку доступа и в настройках CAP указываем оба wifi интерфейса.

Настройки CAP для 5 Ггц

Точка автоматически подключится к контроллеру и каждый интерфейс получит свои настройки в зависимости от рабочей частоты. получится примерно вот так:

2 частоты на точке

То же самое повторяем для второй точки доступа. В итоге на контроллере будет 4 виртуальных интерфейса по 2 с каждой точки - 2.4 и 5 Ггц.

Список виртуальных интерфейсов на контроллере capsman

Все предельно просто. Никаких принципиальных отличий в настройке 2.4 и 5 Ггц нет. Все делается по аналогии, просто выбирается другая частота.

2 ssid в capsman на примере гостевой wifi

Теперь покажу, как добавить гостевую сеть в capsman на отдельные виртуальные интерфейсы. Она, как и основная, будет в двух частотах работать. У нас настроена основная бесшовная сеть wifi с авторизацией по паролю. Нам нужно на эти же точки доступа добавить еще одну гостевую сеть для доступа гостей. В одиночном mikrotik это делается с помощью Virtual AP. Сделаем то же самое в capsman.

Первым делом вам надо добавить отдельные настройки в Datapaths и Security cfg. Начнем с Datapath.

Гостевая wifi сеть в capsman

Создаем отдельный бридж для гостевой сети. Для него нужно будет настроить ip адрес и dhcp сервер для того, чтобы клиенты получали сетевые настройки. Не включаем Local Forwarding и Client To Client Forwarding! Из данного ранее описания этого функционала, я думаю понятно, почему мы так делаем.

В Security cfg делаем отдельную настройку для гостевой сети. Она ничем не отличается от основной, просто пароль другой будет. Далее создаем 2 конфигурации в Configurations для двух гостевых сетей - 2.4 Ггц и 5 Ггц. Настройки по аналогии с основными сетями одинаковые, только отличаются Channels, Datapaths и Security cfg. Не запутайтесь и аккуратно укажите каждой конфигурации свои настройки. И не забудьте отдельные SSID указать для гостевых сетей. Получится примерно так.

Конфигурация под гостевую сеть

Идем на вкладку Provisioning, открываем ранее созданные конфигурации для обоих частот и добавляем туда в параметре Slave Configuration наши конфигурации для гостевых сетей.

Slave Configuration в Provisioning

То же самое и для второй частоты. Это все. Теперь на точки доступа приедет обновленная конфигурация. Там получится такая картина.

Список всех интерфейсов на точке с 5ГГц и гостевой сетью

На контроллере при этом добавились еще 4 виртуальных интерфейса, по два на каждую гостевую сеть в обоих частотах.

Список всех интерфейсов на capsman с 5ГГц и гостевой сетью

При этом, виртуальные интерфейсы гостевой сети автоматически попали в отдельный бридж, который был для них создан.

Бридж для виртуальных интерфейсов

На этом бридже поднят dhcp сервер.

DHCP сервер на мастере для гостевой сети

Все это сделано на самом контроллере. При этом шлюзом в интернет он не является. Просто передает сетевые настройки с другим шлюзом.

В целом, это все по основным настройкам Capsman с гостевой сетью и всем остальным. Дальше осталось разобрать различные нюансы конфигурации единой беспроводной сети.

Отключение по уровню сигнала

Рассмотрим тему переключения абонентских устройств от одной точки к другой. В общем случае хочется, чтобы всегда происходило переключение на точку доступа с максимальным сигналом для данного устройства. К сожалению, в Capsman такого функционала нет вообще.

В общем случае, абонентское устройство само определяет, к какой точке доступа ему подключаться. Для того, чтобы этим как-то управлять, нужен свой протокол роуминга. Они существуют, но в бюджетном сегменте вы не увидите их поддержку на устройствах. Все, что мы можем сделать в Микротике - это принудительно отключить устройство от точки доступа при уменьшении уровня сигнала ниже заданного порога.

В целом, это рабочий вариант, но нужно аккуратно подходить к настройке. Вы должны быть уверены, что уровень сигнала, при котором происходит отключение, гарантированно более низкий, чем есть в этом же месте от другой точки, чтобы клиент сразу же подключился заново к другой точке доступа с более сильным сигналом.

Создаем Access List с ограничением по уровню сигнала. Идем в раздел CAPsMAN и открываем вкладку Access List. Добавляем два правила.

Отключение от capsman по уровню сигнала

Reject signal range

Первое правило разрешает подключение клиентов с уровнем сигнала лучше чем -79 dBm, второе правило запрещает подключаться клиентам с уровнем сигнала ниже, чем -80 dBm. Напоминаю, что качество сигнала подключения по wifi измеряется в dBm (дБм). Это универсальная мера мощности сигнала.

Обращаю внимание на параметр Allow Signal Out Of Range. С помощью него можно указать промежуток времени, в течении которого будет проверяться качество сигнала. Я указал 10 секунд, это дефолтное значение времени. Клиент будет отключен, только если в течении всех 10 секунд его качество сигнала будет ниже заданного лимита. Если поставить Always, то проверка сигнала будет происходить одномоментно и его отключит сразу же, как сигнал упадет.

После применения Access List, всех клиентов принудительно отключит от точек и они начнут подключаться заново. Те, у кого качество сигнала будет ниже заданных порогов начнет отключать. В логах это выглядит следующим образом.

B4:52:7D:EB:28:17@5G-xs-wl-meeting-1-1 disconnected, too weak signal, signal strength -80
B4:52:7D:EB:28:17@5G-xs-wl-office-1-1 connected, signal strength -71

Без добавления правил Access List клиент был подключен к точке доступа с плохим сигналом. После добавления, его принудительно отключило от первой точки и подключило к точке с лучшим сигналом.

Таким нехитрым способом, без использования продвинутых протоколов роуминга, можно без проблем отключать клиентов с плохим сигналом и подключать их к другим точкам. При этом важно спланировать покрытие так, чтобы в любом месте wifi сети сигнал был не ниже порога отключения клиента. Чтобы не получилось так, что вы отключаете клиента от слабой точки, но другой в радиусе его действия просто нет, и он остается без связи.

Важно понимать еще один нюанс. Современные устройства с wifi адаптером сами умеют находить точки с более сильным сигналом и автоматически к ним подключаться. Так что прежде чем все это настраивать, потестируйте свою сеть и работу устройств в ней. Возможно, все будет нормально работать и без подобных настроек ограничения подключения по мощности сигнала. Есть ненулевой шанс, что вы сделаете только хуже. Клиентские устройства начнут чаще переключаться с точки на точку, что в целом ухудшит качество wifi связи.

vlan

Нет никаких особых сложностей с тем, чтобы настроить CAPsMAN вместе с VLAN. В официальной wiki есть даже отдельная статья на эту тему. Там разобран пример, когда пользователи основной сети попадают в VLAN10, а пользователи гостевой - в VLAN20.

У меня нет возможности собрать тестовый стенд под эту настройку, чтобы показать вам ее по шагам, поэтому я просто объясню на словах, что необходимо сделать. Если вы успешно настроили capsman без vlan, то у вас без проблем все получится, так как никаких особых трудностей в этом нет.

Последовательность действий по настройки capsman с vlan будет следующая:

  1. На точках, где располагаются dhcp серверы (обычно это сами мастера) для ваших сетей настройте соответствующие вланы на сетевых интерфейсах. Задайте им ip адреса и запустите dhcp сервера на этих vlan.
  2. В настройках capsman создайте datapaths, где помимо прочего добавьте настройки vlan-mode=use-tag и datapath.vlan-id=10 или 20. Все остальное настраивается точно так же, как мы делали это ранее.
  3. На точках доступа создайте бридж и добавьте туда интерфейс, через который идет подключение к мастеру.
  4. Подключаете точки к мастеру. Они автоматом создадут беспроводные интерфейсы, добавят их в бридж и назначат vlan id в соответствии с настройками в datapath.

Настройка firewall в capsman

Тема настройки firewall в mikrotik выходит за рамки данной статьи. Смотрите по ссылке мой подробный материал по данной теме. Его достаточно для того, чтобы разобраться в работе фаервола и настроить его у себя по месту так, как нужно именно вам.

Я же просто покажу пример того, как можно ограничить доступ из гостевой сети в основную с помощью firewall. В данном случае Capsman не вносит каких-то нюансов в настройку firewall, так как это более высокий уровень. В фаерволе же мы работаем с протоколами, интерфейсами и ip адресами.

ip firewall filter
add action=drop chain=forward comment="block local Net" dst-address=10.1.3.0/24 src-address=10.1.31.0/24
  • 10.1.3.0/24 - основная подсеть
  • 10.1.31.0/24 - гостевая подсеть

Мы просто запретили доступ из гостевой сети в основную. Обращаю внимание, что у вас в гостевой сети должен быть свой DNS сервер. Иногда это не так. Видел такие ошибки, когда закрывают доступ из гостевой сети в основную, но при этом гостям выдают dns сервер из основной сети. Если это так, то не забудьте разрешить DNS запросы от гостей. Но лучше так не делать. Выдайте им публичные dns серверы из интернета, да и все.

Еще возможны ситуации, когда к гостевой сети подключаются личные смартфоны сотрудников. Я бы именно туда их и подключал, не пуская в основную сеть. Но у них могут быть настроены почтовые ящики от вашего почтового сервера, который располагается в локальной сети. В итоге из гостевой сети они не могут попасть на почтовый сервер. Тут их либо придется пускать на почтовый сервер из гостевой сети, либо строить им маршрут через интернет. Как лучше сделать, надо решать по месту.

Возможные ошибки

Разберу в силу своих знаний и опыта наиболее характерные ошибки при настройке и внедрении CAPsMAN. Поделюсь советами, которые в свое время помогли мне.

Большой пинг

То, с чем сталкиваются чаще всего при проблемах с wifi - очень большое время доставки пакетов. Проверяют чаще всего пингом, поэтому и говорят, что очень большой пинг и в целом не стабильное wifi соединение. Чаще всего причина этого - забитый радиоэфир. Если у вас большая зашумленность в рабочих диапазонах 2.4 и 5 ГГц, то хорошей связи никак не получить.

Хоть как-то компенсировать помехи от посторонних точек доступа можно увеличив мощность своих. Теоретически, это может помочь, практически - не всегда. И сразу сделаю важную ремарку для тех, кто любит выкручивать мощность своих точек на максимум. Это не всегда нужно делать. В некоторых ситуациях это может приводить к тому, что качество wifi связи будет хуже.

Итак, мощность точек можно увеличивать, если радиоэфир забит посторонними точками. Если у вас в эфире только ваши точки, то имеет смысл наоборот понизить их мощность. Чтобы понять это контринтуитивное действие, приведу простой пример. Когда несколько человек в одной комнате, проще всем говорить тихонько, нежели кричать. При криках услышать и понять друг друга шансов меньше, вы будете только мешать друг другу. Так и с точками. Нет смысла мешать своим же точкам мощным сигналом. Подберите оптимальный уровень мощности радиопередатчиков. Обычно это тестами достигается. По-умолчанию рекомендую начинать с мощности 15-17.

Следующий совет улучшить связь - повесить точки на разные каналы. В настройках capsman можно сделать разные настройки каналов в channels и раздать их на разные точки. Смотрите меньше всего загруженные каналы в эфире и вешайте точки на них. Так же пробуйте разную ширину каналов - 20 или 40 МГц. Ну и, конечно, используйте частоту 5 Ггц, если есть возможность и она менее загружена.

Отключается wifi или точки

Еще одна поблема, с которой приходится сталкиваться - устройства отключаются от wifi сети. Причем чаще всего я с этим сталкивался в устройствах от apple. Причиной проблем подключения iphone или ipad к mikrotik кроется в особенности режиме сна этих устройств. Суть вот в чем. Во время сна яблочные устройства не могут корректно обновить dhcp аренду при подключении по wifi к микротику. Если время аренды очень маленькое, например 10 минут, они каждые 5 минут будут обновлять аренду. Если они при этом будут в режиме сна, то после выхода из него будут наблюдаться поблемы с подключением к wifi. Костыльное решение этой проблемы - увеличить время аренды, к примеру, до суток.

Еще одна проблема - точка доступа не подключается к CAPsMAN. В самом начале я уже упоминал эту ошибку, но повторю еще раз. Если ваша точка доступа не подключается к контроллеру, полностью сбросьте на ней конфигурацию и попробуйте еще раз. Причем после сброса, надо подключиться к точке и удалить предлагаемую дефолтную конфигурацию. Точка должна быть девственно чистой. Если и это не помогает, то проделайте ту же операцию на контроллере. Его тоже надо настраивать с нуля.

Заключение

Не понравилась статья и хочешь научить меня администрировать? Пожалуйста, я люблю учиться. Комментарии в твоем распоряжении. Расскажи, как сделать правильно!

Подведем итог проделанной работы. На примере двух точек доступа wAP ac мы настроили бесшовный wifi роуминг на покрываемой этими точками площади. Площадь эта легко расширяется дополнительными wifi точками любой модели микротик. Они не обязательно должны быть одинаковыми, как это, к примеру, реализовано в некоторых конфигурациях Zyxell, которые мне доводилось настраивать. Примерно такая же производительность у точек Mikrotik RB951G-2HnD, которые я до сих пор использую. Единственный минус - у них нет 5 Ггц.

В этом примере я рассмотрел практически самую простую конфигурацию, но при этом расписал все настройки и принцип работы. На основе этих данных легко составить и более сложные конфигурации. Здесь нет какого-то принципиального усложнения. Если понять, как это работает, то дальше уже можно работать и делать свои конфигурации.

Трафиком с точек доступа можно управлять так же, как и с обычных интерфейсов. Работает весь базовый функционал системы - firewall, маршрутизация, nat и т. д. Можно делать бриджы, делить адресное пространство и многое другое. Но стоит учитывать, что при этом трафик будет весь идти через контроллер. Нужно это понимать и правильно рассчитывать производительность и пропускную способность сети.

Мне самому было бы очень любопытно сравнить технологию capsman v2 с аналогичными решениями от других производителей. Своими руками я настраивал только конфигурации от Zyxell для решения похожих задач, но там все гораздо хуже работает, неудобно использовать и управлять. В микротике выходит и дешевле, и быстрее, и удобнее. Больше бесшовного роуминга я не настраивал. Если у кого-то есть подобный опыт, прошу поделиться в комментариях. Тема эта актуальна на сегодняшний день.

Напоминаю, что данная статья является частью единого цикла статьей про Mikrotik.

Помогла статья? Подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Видео настройки capsman

Онлайн курcы по Mikrotik

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курcы по программе, основанной на информации из официального курcа MikroTik Certified Network Associate. Помимо официальной программы, в курcах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте Курcы по ИТ. Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курcов:
  • Знания, ориентированные на практику;
  • Реальные ситуации и задачи;
  • Лучшее из международных программ.

Автор Zerox

Владимир, системный администратор, автор сайта. Люблю настраивать сервера, изучать что-то новое, делиться знаниями, писать интересные и полезные статьи. Открыт к диалогу и сотрудничеству. Если вам интересно узнать обо мне побольше, то можете послушать интервью. Запись на моем канале - https://t.me/srv_admin/425 или на сайте в контактах.

253 комментария

  1. Андрей М

    Я не понимаю переход к Datapath. Если только что "удаляем дефолтную конфигурацию", то откуда в ней взялся bridge "xs-office" который надо указать в настройках? Или необходимо было выполнить ещё какие то действия не указанные в статье? Или я неправильно понимаю термин "дефолтная конфигурация" и процесс её удаления?

  2. Андрей

    Я никак не могу понять шаг перехода к Datapaths. Если только что - "удаляем дефолтную конфигурацию", то откуда на ней взялся Bridge "xs-office", чтобы указать его в настройках? Или подразумеваются ещё какие то промежуточные действия не указанные в статье? Или я неправильно понимаю термин "дефолтная конфигурация" и как её сносить?

  3. Евгений

    приветствую.
    вдруг кто сталкивался.
    есть роутер микрот, есть две точки.
    роутер выполняет роль контроллера CAPsMan, точки- точки.
    все настройки по учебнику, две сети- рабочая и гостевая, единственное что - в рабочей в качестве DHCP сервера не микрот ( не суть- в рабочей все работает)
    гостевая - какая-то мистика- клиент подключается, ip от DHCP сервера контроллера и все остальное получает- но пинг даже контроллера нету.

    • Евгений

      ну ларчик просто открывался., шаловливые ручки, что до меня настраивали по какой-то - в гостевом бридже указали ARP - readonly ))

  4. Мне кажется, это важная тонкость при безопасной настройке CAPsMAN.
    Нигде не нашёл про это, но во время настройки у себя обнаружил: если CAPsMAN расположен на пограничном роутере сети, то он может раздавать широковещательные пакеты CAPsMAN и в WAN. Т.е. есть теоретическая возможность подключиться к внутренней сети, находясь снаружи! Для ограничения распространения наружу нужно зайти в CAPsMAN-Manager-Interfaces, добавить интерфейс, который WAN, c отметкой Forbid.
    Буду признателен, если кто-то сможет проверить это. Разобраться досконально самому, к сожалению, не было времени.

    • Спасибо за полезную информацию. Это надо будет проверить при очередной настройке.

  5. Крутая статья. У меня почти всё получилось. Но у меня тоже была проблема как и у одного из читателей, в конфигурации 2 сети (локальная и гостевая) и каждая работает в 2,4 и 5 ГГц это то что в Provisioning для сети 2.4 необходимо было явно указать параметр Hw/ supported modes: b и gn. Иначе эти настройки пытались применить к модулю 5G и в капсмане появлялась ошибка no supported channel.
    Единственное исключение, что я не люблю вводить пароли, поэтому я в конфигурации сети home убрал пароль и добавил список MAC адресов своих устройств, которые подключаются без пароля. В самой нижней строке добавил правило reject без MAC адреса. Таким образом пароли вводить не надо и никто кроме Access list подключиться не сможет.
    В сети guest сделал доступ по паролю, но нормально настроить гостевую сеть не получается. То есть всё вроде настроилось как в статье, но вот мой новый телефон и новый планшет к ней подключаться никак не хочет совсем. А старый ноут подключается, но не получает никакого IP адреса и на вкладке DHCP server -> Leases я его не вижу.

    • Если я не ошибаюсь, в радиообмене mac адреса передаются в открытом виде. Так что без пароля относительно легко можно подключиться к вашей сети, подсмотрев mac адрес одного из подключенных устройств. Далее делается подмена мак адреса и подключаемся без пароля. Какой-нибудь смышлёный сосед сможет такое провернуть. А это может плохо кончится, так как через интернет потенциально можно и уголовку получить. Попробуй потом докажи, что ты тут не при чём и это сосед твоим интернетом воспользовался.

  6. Юрий Михайлович Бекиш

    День добрый.
    Есть 4 точки настроенные в безшовый вайфай. и есть телевизор с вай фай . Как заставить его цепляться только к одной точке, игнорируя другие.

    Вроде бы он иногда к ненужной может зацепиться. Что плохо для него.

  7. Александр

    Добрый день.
    В мануале микротика (https://wiki.mikrotik.com/wiki/Manual:CAPsMAN#Access_List) сказано, что Access List работает только когда клиент подключается. Так как клиент не будет постоянно подключаться, значит и ваш конфиг не будет работать, потому что клиент не отключится самостоятельно до тех пор, пока сигнал не пропадет.
    Я не прав?

  8. Александр

    Добрый день ! Появился вопрос почему при работе CAPsMAN сначало клиент поключается на 2.4GHz а потом может подключится на 5GHz и то не всегда, хотя в Мастер конфик стоит 5GHz. В чем может быть проблема
    Заранее благодарен за ответ

  9. настроил все работает. походил вдоль здания - переключение работает очень плохо, до последнего держится на старой точке со слабым сигналом хотя рядом новая с сильным сигналом- capsman похоже не посылает сигнал отключения от старой точки. похоже caps man это просто протокол конфигурирования точек +статистика. на unify точки переключаются быстро и хорошо.

    • Всё верно. В Capsman условно "бесшовный роуминг". На самом деле он таковым не является.

  10. А можно подробней - как повесить точки на разные каналы . А то беда у меня с wi-fi - работает но Очень плохо - по кабелю все летает ….

  11. Спасибо огромное за обстоятельный материал! Всё получилось с минимальным геморроем.
    Я сначала настрочил сам контроллер и завёл под Capsman его собственные интерфейсы, hAP Lite который у меня в роли точки просто ресетнул в режиме CAP и он автоматом схватил все настройки. Выглядело как волшебство. :)

    Проблемы были только с заведением одноо из беспроводных интерфейсов под Capsman, но решилась просто приведением настроек каналов к микротиковскому дефолту (сбросил настройки интерфейса и воспроизвёл в настройках канала), и отключением правила firewall как в одном из комментариев выше.

  12. Дмитрий

    Здравствуйте!
    Какое максимальное количество точек можно завести на контроллер?

    • Я не припоминаю явного программного ограничения.

      • Дмитрий

        Спасибо за ответ, а это не является ограничением количества?
        Ограничение технологии Capsman:

        Максимум 32 беспроводных интерфейса на управляемой точке доступа (CAP - Controlled Access Points).
        Не более 32-х виртуальных интерфейсов на основной беспроводной интерфейс.

        • Тут не идёт речь о количестве подключенных точек доступа к контроллеру. Это кол-во интерфейсов на управляемых точках.

  13. Андрей

    Спасибо за статью!
    Есть вопрос, пожалуйста помогите, такой уже был в отзывах, но остался без ответа .
    Есть роутер 3011, и свитч hex Poe lite (режим свитча), точки cap ac.
    Capsman настроил на свитче. На свитче bridge (для сети) и bridge-free (для гостей).
    Гости получают IP адрес, клиенты между собой из этой сети могут пинговаться, но почему то в интернет нет доступа.
    Чего нужно добавить и куда?
    Спасибо!

    • Андрей

      Сам решил проблему.
      Необходимо на свитче, добавить правило NAT
      /ip firewall nat
      add action=masquerade chain=srcnat

  14. Сергей

    Добрый.
    Спасибо за материал.
    Настроил контроллер, подключил к нему точку доступа, всё норм.
    А вот на контроллере подключить его wifi интерфейс никак не получается.
    В CAP Interface как был один интерфейс точки, так дргугого не появляется.
    Что можно сделать?
    Спасибо.

    • В целом, подключение wifi самого контроллера не отличается от подключения любой другой точки. Только адрес контроллера локальный будет.

  15. Владислав

    Спасибо за топовую статью. С небольшим домашним опытом в RouterOS всё настроил без проблем. Несколько апдейтов на 2021:
    1. Сбрасывать конфигурацию необязательно, правило в файрволе, которое разрешает подключение, в новых прошивках уже идёт из коробки.
    2. Если CAPsMAN двухдиапазонный, то по-прежнему нужно, как писали в комментах выше, задавать для 2 GHz: Hw/ supported modes: b и g. Иначе на 5 GHz в интерфейсах увидите ошибку, что частота не поддерживается.
    3. Можно настроить на контроллере CAPsMAN, подключить туда его собственный Wi-fi, а на новой точке просто сразу включить режим поиска сервера CAPsMAN. Подключается автоматически и подцепляет все настройки, очень удобно. Дальше управляете точкой с контроллера.
    С одной точкой доступа очень плохо проходил сигнал между дальними комнатами. Две точки на Tx Power 15 идеально покрывают всю квартиру и переключаются.

    • Владислав

      Вот что забыл добавить. По умолчанию, если не сбрасывать конфиг, точка-контроллер имеет DHCP сервер. Если эта точка не сама раздаёт интернет, а он раздаётся выше, то лучше его отключить: похоже, из-за этого некоторые телефоны не получают корректно шлюз, и получается сеть без интернета. У меня была такая проблема на двух смартфонах Xiaomi, при этом телефоны других марок получали шлюз нормально. После того, как в сети остался только один верхний DHCP сервер, все стали подключаться без проблем.

      • Поэтому лучше все же конфигурацию точек обнулять и настраивать capsman с нуля. Я очень много раз сталкивался с тем, что у людей не получалось настроить, а стоило сбросить точку и повторить всё заново, как всё проходило успешно.

        • Владислав

          Кстати, а можете объяснить в двух словах, чем отличается Tx Power от Antenna Gain?

    • Спасибо за полезные дополнения. На каких точках настраивали?

    • Если кто-то вдруг ищет это правило (пункт 1)
      То оно следующее:
      Chain: input
      Dst. Address: 127.0.0.1
      Action: Accept

      в Wireless, в разделе CAP прописываете в CAPsMAN Addresses: 127.0.0.1

  16. Евгений

    а точки доступа должны быть только той же марки Kenetic? У меня много маршрутизаторов с wifi, типа tplink tl-wa740nd! С ними эта инструкция будет работать?

  17. Андрей

    День добрый!
    Проверялась ли работа WiFi с Apple iPhone? Есть мнение, что с ними возникают проблемы с подключением?

    • В общем случае проблем нет. Но я иногда сталкивался. Это скорее исключение.

  18. Владимир

    Добрый день, а можно ли конкретному wifi устройству разрешить подключаться только к одной из точек доступа под управлением caps man а при уходе из её зоны покрытия просто бы обрывался коннект ?

  19. Довольно долго мучался с настройкой capsman, признаюсь сразу - без сброса конфигурации, старую конфигурацию firewall и nat подтянул с предыдущей точки доступа, лень было перебивать руками. Уже отчаялся и решил сделать чистый сброс, как тут нашел причину сбоя:
    необходимо создавать правило firewall
    chain input
    вкладка Extra,
    Src. Address Type - Address Type local
    Dst Address Type - Address type local
    action: accept
    Все, после этого всё завелось.
    При этом все запрещающие правила я отключал, и capsman все равно не заводился пока не создал разрешающее правило. Может кому-то будет полезно. В одном из мануалов на просторах интернета так вообще доказывали обязательность этого правила в таблице firewallю

  20. Если вместо картинки https://serveradmin.ru/wp-content/uploads/2020/08/mikrotik-capsman-12.png смотреть на картинку https://www.technotrade.com.ua/userfiles/images/MikroTik_CAPsMAN_setup/2121.png то точка сможет подключиться к своему контроллеру)

    • А в чем разница? Этот скрин сделан даже не с тестовой лаборатории, а с реально настроенного объекта. По нему вся статья и писалась. Она на 100% рабочая. По крайней мере на момент последнего редактирования.

  21. Сергей

    Все настроено, но никак не могу победить проблему: Нужно запретить трафик между клиентами гостевой сети:
    - в Datapath галки: Local Forwarding и Client To Client Forwarding сняты

    • Александр

      А попробуйте добавить в файрволл запрещающее правило, в котором и src и dst интерфейсом гостевой бридж.

  22. у меня в гостевой сети нет интернета. в чем может быть проблема? не то чтобы файрвол не пускает а в файрволе вообще нет пакетов из гостевой сети. только если пингуешь сам хост тогда на инпут появляются. а на форварде вообще пусто. и телефон пишет - network is unreachable.
    с основной сетью вайфай при этом полный порядок...

  23. Аноним

    Здравствуйте!
    Подскажите, пожалуйста, надо ли настраивать firewall на точке доступа после сброса конфигурации?
    Объединил все порты в bridge, который затем добавил в DHCP Client.
    Благодарю за статью!

    • Надо или нет Вам решать. Что конкретно вы хотите ограничить с помощью firewall?

      • Аноним

        Firewall настроен на контроллере.
        Вопрос нужно ли его настраивать на точке доступа в таком случае?

        • Так я вот и уточнил, что именно вы хотите ограничить фаерволом. Если, к примеру, доступ через winbox к самой точке, то надо это локально настраивать на ней, а не контроллере.

          • Аноним

            Может какие общие рекомендуемые настройки есть.
            Winbox же можно и через service отключить.

  24. Добрый вечер! Спасибо за статью!
    Роутер - RBD52G-5HacD2HnD-TC.
    Две точки доступа - RBwAPG-5HacT2HnD.

    Конфигурацию оставил стандартную. На точках доступа:
    - порт ether1 добавил в bridge (wlan1, wlan2 уже были добавлены), чтобы были доступны по витой паре;
    - отключил dhcp сервер.
    В настройках IP - DHCP Client порт ether1 выделен красным цветом. Добавил bridge (выделен черным цветом), который получил свой адрес. Но через winbox все равно точка доступна по IP, который присвоен порту ether1. В IP - Address List два динамических адреса для bridge и ether1.
    Если удаляю ether1 из DHCP Client, то winbox не видит точку. Подскажите, пожалуйста, как правильно настроить статический IP точкам доступа?

  25. Здравствуйте. В сети 4 точки подключенные к контроллеру capsman. Две одно диапазонные RBcAP2nD и две двух диапазонные RBcAPGi-5acD2nD. Рабочая и гостевая сети на 2.4 и 5 Ггц. На RBcAP2nD приходит конфигурация с рабочей и гостевой сетью на 2.4 Ггц. На RBcAPGi-5acD2nD только рабочая сеть на 2.4 и 5 Ггц. Почему не прилетает Slave Configuration на двух диапазонные точки? Прошивка последняя 6.48.1

    • Разобрался. В CAP Interface были то ли в ручную созданы интерфейсы, толи остались от предыдущего конфига. В общем удалил все и создались автоматом все что нужно и на точках все сети завелись.

      • Я иногда просто удаляю полностью конфигурацию и настраиваю заново. Это если что-то простое не работает и не понятно почему. Воспроизвести настройки capsman дело 5-10 минут. Много раз уже данный способ помогал.

    • Юрий Михайлович Бекиш

      Было такое. В бридже точке отсутствовала в нашем случае. Добавили и буква S появилась.

  26. Аноним

    Добрый день!
    а как у нее дела обстоят с удаленными точками, такими как у циски флексконнект?

  27. Константин

    Спасибо за статью, настроил для дома 3 точки, основу взял отсюда, тонкости уже дочитывал с вики. Опыт настройки микротиков есть, уже лет 7 используем по работе, но лично мне капсман не приходилось настраивать, думал прилично завязку в доках, но благодаря статье все получилось вполне успешно и главное очень быстро.

    • Да, тут базовый функционал за 5 минут настраивается, если делаешь не первый раз. Все в одном разделе настроил и запустил. По статье пока еще без проблем все делается, недавно обновлял.

  28. Привет. Подскажите пожалуйста имею такую схему
    Сap-Ac (контроллер capsman) + Hap Ac2 (remote)
    Проблема в том что я все настроил на СAP AC и НАP раздает wi-fi все ок, но почему-то сам контроллер т.е. кап ас, не подхватывает свой собственный вайфай. При том что понятное дело я передал его на управление капсману ( так же как с делал с удаленной точкой ) Пробовал и автопоиск по бриджу, и руками прибивать ип. не помогает, может где-то еще что-то нужно включить?

  29. Спасибо за статью. Подробно и понятно всё описано. Можете подсказать, как гостей отправить на резервный канал в Wan2?

    • Так на пальцах не объяснить в рамках комментария, но в целом это не сложно. Надо промаркировать все пакеты гостей и на основе маркировки создать для них свой свой маршрут через wan2.

  30. За статью спасибо, с первого раз все точки подключились. Но я уперся в 1 вещь - не работает provisioning. Сижу 5й час подряд и не могу понять что не так, если я в cap интерфейсе применяю конфиг - все работает. Но мне нужно два конфига повесить на один радиомодуль (гость\не_гость). Кстати, для чего кнопка Provision в разделах Radio и Remote Cap? Вообще ничего не происходит если я нажимаю на нее в любом из двух разделов. Ошибок нет, логи чистые. Прошивки использовал 6.46.8 и 6.48 - в обеих баг? И еще - в provisioning есть столбец (#) - это значит, что важна очередность строк, как в файерволе и тд. К чему это? Отправлять настройки на точки нужно в строго опред порядке на каждый радиомодуль? :) В общем в моей голове с MTCNA это никак не укладывается, разъясните пожалуйста принцип работы этого provisioning.

    • Никита

      там всё просто. уберите турбо режим в HW Supporeted Modes, если выставили все. Или добавьте в туда необходимые режимы. для 2 ггц двоечные, для 5-ки пятёрочные)

      • Аноним

        Вы продублировали то, что написано в статье. Я же говорю, все сделал как в статье, provisioning не работает от слова совсем. Только если добавлять в интерфейсы конфиги, а там можно только один, нельзя гостевую и основную. И HW modes разные указывал и без них и все как в статье - вообще ничего не происходит, точки показывают отсутствие SSID. Кнопка Provision в разделах Radio и Remote Cap при нажатии ничего не делает, так не может быть. Какие-то изменения произошли в прошивке, напишите работает у кого-нибудь на 6.48 и с каким конфигом.

      • Никита

        Для того, чтоб запустился слэйв необходимо добавить его в провизор. 6.48 у меня. Все работает.

        Скорее всего невнимательно прочли статью.

        В провизоре есть мастер конфигурациия и есть слэйв.
        Ещё в файраволе есть правило, которое мешает капсману, но в вашем случае, скорее всего, необходимо заново настроить.

        У меня оно раньше не собиралось динамически из-за невысталенных параметров HW Supported Modes. Сейчас настройка сведена до настройки контроллера, а остальные точки доступа сброс в режим капс мод. Без особых манипуляций.

    • Никита

      А, и добавить create dynamic enabled или любую другую вариацию

  31. Здравствуйте! у меня два устройства 3 устройства от Микротик-а:

    Две вот такие ---- MikroTik hAP mini | WiFi Router | RB931-2nD
    Одна вот такого моделя ---- MikroTik RouterBOARD 2011UiAS-2HnD

    Можно их по Wi-FI настраивать в CAPsMAN, без кабелей ?

    • Можно, но имейте ввиду, что все это будет работать очень нестабильно. И ничего с этим не поделать. Скорость будет низкая. Я нигде не использовал такую схему подключения. И не видел, чтобы кто-то использовал.

  32. Алексей

    В инструкции указано что для использования второй частоты, например 5GHz, необходимо создавать новый SSID. Так вот я, пройдя курс MTCWE, могу с уверенностью сказать, так как задавал подобный вопрос тренеру, что для разных частот можно и нужно использовать один SSID, так как между ними так же будет успешно проходить роуминг. При этом желательно для частоты 5GHz указать мощность на 3 dBm больше, чем у 2.4GHz, чтобы бОльшая частота была в приоритете.

    • Так смысл не в том, что обязательно надо разные ssid указывать. Это лишь вопрос удобства. Так вы без проблем можете переключаться между разными частотами, просто подключаясь к разным ssid. Если вам это не нужно, то указывайте единый.

  33. Контроллер на базе CHR
    Точки RB941-2nD
    пинг от клиента до точки был стабильный, но скорость между точкой и клиентом не превышала 0.5-1 мбит

    выключил local-forward и все стало нормально, в чем может быть причина?

    /caps-man channel
    add band=2ghz-b/g/n extension-channel=disabled frequency=2412,2437,2462 name=channel24-vdr-vakhta-vlan190
    /caps-man datapath
    add bridge=bridge24-vdr-vakhta-vlan190 client-to-client-forwarding=no local-forwarding=no name=datapath24-vdr-vakhta-vlan190
    /caps-man security
    add authentication-types=wpa2-psk encryption=aes-ccm name=security24-vdr-vakhta-vlan190 passphrase=PASSWORD
    /caps-man configuration
    add channel=channel24-vdr-vakhta-vlan190 country=russia datapath=datapath24-vdr-vakhta-vlan190 name=cfg24-vdr-vakhta-vlan190 security=security24-vdr-vakhta-vlan190 ssid=VDR-UZ
    /caps-man manager
    set enabled=yes
    /caps-man provisioning
    add action=create-dynamic-enabled hw-supported-modes=b,g,gn master-configuration=cfg24-vdr-vakhta-vlan190 name-format=prefix-identity name-prefix=2.4GHz radio-mac=74:4D:28:D3:8D:78
    add action=create-dynamic-enabled hw-supported-modes=b,g,gn master-configuration=cfg24-vdr-vakhta-vlan190 name-format=prefix-identity name-prefix=2.4GHz

  34. Максим

    "Disable PMKID в документации нет описания, не знаю, что это такое"
    Известная информация по вопросу взлома WPA2 preshared key brute force attack. https://forum.mikrotik.com/viewtopic.php?f=21&t=137838
    Вам придется решить включать ли PMKID в кадр EAPOL, отправленный точкой доступа. Отключение PMKID может привести к проблемам совместимости с устройствами, использующими PMKID для подключения к точке доступа. Но если Вы заботитесь о безопасности оставьте этот пункт включенным.
    Если у Вас наблюдаются проблемы при подключении каких-то устройств к Wi-Fi, попробуйте снять галку с пункта Disable PMKID
    Это свойство влияет только на режим Wi-Fi, как точки доступа.

  35. Сергей

    Прошу подсказать, немного раздражает вот такая проблема, речь пойдет о мощности точек доступа.
    На капсмане у нас в настройках канала задана частота и мощность скажем TX15,
    но на точке мы видимо мощность всегда на 2 единицы меньше, в данном случае 13.
    Если мы создадим интерфейсы не динамические, и раками распределяем мощность то картина не меняется, на интерфейсе ставим 10, на точке получаем 8?
    Подскажите куда копать?

    • Евгений

      Присоединяюсь к вопросу. Такая же история

    • Подозреваю, что это из-за коэффициента усиления антенны, который берется в расчет.
      В старых прошивках его надо было задавать самому.
      Теперь это поле выпилили и, видимо, параметр вшит.

  36. Как регулировать мощность отдельной точки подключенной к Capsman?

    • Сергей

      Если точек немного, прямо в интерфейсе, он не должен быть динамическим (в провижинге указываем action "create enabled") тогда можно его редактировать

  37. Большое спасибо за статью и то, что она находится на первой странице поиска)
    единственная сложность с которой я столкнулся в конфигурации 2 сети (локальная и гостевая) и каждая работает в 2,4 и 5 ГГц это то что в Provisioning для сети 2.4 необходимо было явно указать параметр Hw/ supported modes: b и gn. Иначе эти настройки пытались применить к модулю 5G и в капсмане появлялась ошибка no supported channel

  38. Огромное спасибо автору, все очень четко расписано!

  39. Добрый день.
    Спасибо за статью.
    А можно по подобной технологии подружить Mikrotik и Tp-link или edimax?
    У меня тот же tplink усилитель, коннекчу к Mikrotik и по LAn всё хорошо, а по WiFi отключает.

    • Подружить что-то с Микротиком через capsman нельзя. Это его разработка и поддерживает ее только он.

  40. Сергей

    Спасибо за понятную инструкцию!
    Я очень редко соприкасаюсь с MikroTik и Ваши статьи мне помогают разобраться в их настройке.

    Скажите:

    1. у Вас есть подобная статья по настройке запасных каналов интернета различными способами, для MikroTik? Мне известен только способ через `Netwatch`. Но вдруг есть лучше способ. :)

    2. у Вас есть подобная статья с детальным описанием установки ширины канала WiFi? Я просто ищу рабочий шаблон настроек ширины канала в КАПСМАНЕ. А то я перебирал их как угодно, при изменении любого параметра, влияющего на ширину канала — капсы отказываются подхватывать настройки от контроллера.

    • 1. Есть подобная статья, но она очень старая. Способ рабочий, но есть уже более простые и удобные. Статью можно посмотреть в разделе Микротик.
      2. Такого нет.

    • Владимир

      Привет, понимаю, что вопрос звучит по дурацки, но я поку не могу сформулировать его правильнее :)

      Есть hap ac2 (пока что в одном экземпляре - вторую точку я не включал, тренируюсь подключать к capsman внутренние интерфейсы) и есть ноутбук с программкой WiFi Explorer Lite:

      1) настраиваю wireless 5GHz на hap ac2 в standalone mode и программка показывает (в попугаях, конечно) - maxrate 866Mbps
      2) перевожу этот же интерфейс под управление Capsman - и та же самая программа на том же самом ноутбуке в том же географически месте начинает показывать maxrate 450Mbps

      Выглядит так, как будто на скорость не влияет, но сам факт - один и тот же интерфейс показывает разные параметры под управлением Capsman и в standalone mode, а я не очень люблю, когда не понимаю, что происходит. Любопытно вот еще что - где-то у кого-то из соседей светятся сети Микротика и по ним WiFi Explorer так вообще рипортит 1300Mbps :-) Это всё видно на одном и том же ноутбуке, который AC не поддерживает, но он, во всяком случае, видит рипортинг.

      Вопрос - одинакова ли функциональность Capsman vs Standalone? Как получается разный рипортинг параметров для одного и того же устройства и почему у соседа bandwidth длиннее и толще? :-)

      Спасибо.

      • А какова методика тестирования? Я не понимаю, как вы тестируете скорость соседских точек. У вас есть доступ в их wifi сеть?

        • Владимир

          Привет, это не тестирование. Это capabilities they're reporting и которые я просто вижу путем сканирования эфира. То есть минимально - вопрос заключается в том, почему мой микрот анонсирует разные скорости при работе под capsman и в standalone режиме.

    • Владимир

      > с детальным описанием установки ширины канала WiFi

      ширина канала настраивается в закладке Channels. Хорошая раскладка по каналам и частотам есть тут - https://en.wikipedia.org/wiki/List_of_WLAN_channels

      При настройке каналов обратите внимание на параметры Country и Installation (indoor/outdoor/any) в закладке Configurations, потому что в некоторых странах некоторые частоты лицензированы исключительно для outdoor (напр U-NII-3) и если установлено Installation indoor, то их не получится задействовать.

      Использование частоты определяется параметром extension channel: Ce/Ceee/eeeC/eC и прочие варианты

      • Сергей

        Владимир, благодарю за информацию. Я перепробовал, как мне кажется, все комбинации настроек во вкладке `Channels`, согласно вики Микротика.

        Но это не дало никакого работоспособного результата с шириной канала 40Мгц.

        Пока предполагаю, что это связано с целым зоопарком точек: hAP, wAP, cAP, mAP...

        Грешу на mAP.

        Это не есть супер критичная проблема, но интерес раздирает меня. Почему оно не взлетает? )))

        • Владимир

          Я в итоге отказался пока что от Капсмана, но в standalone mode при таких настройках - https://pasteboard.co/JrtlYc6.png
          использование диапазона выглядит вот так - https://pasteboard.co/JrtmGc8.png

          Точно также оно выглядело и под капсманом - 2452MHz, 20MHz, Ce.

          У меня hAP ac2 и cAP ac - на обоих картина одинаковая.

  41. Настроил по инструкции, всё работает, но как! Когда микротик (wap) был просто точкой доступа, всё летало и speedtest показывал скорость 20/20 mbps. А с настроенным capsman всё тормозит, speedtest показывает скорость 1/2 mbps, и пинг ужасен. Не устраивает, сносим.

    • Дело не в capsman, а в том, как вы его настроили. В общем случае он не ухудшает связь. У вас просто какие-то проблемы возникли.

  42. Евгений

    Для чего использовать Provisioning ? Я как понимаю нужен он в случае если у всех точек (образно) одинаковые настройки должны стоять ? То есть оставляем в поле mac нули и все точки подхватывает конфиг, как я понял ? У меня просто 32 точки и разные частоты, мосты и мощности и я указываю настройки каждой точки в закладке "CAP Interface" непосредственно. Можно это дело в мануал добавить кстати.

    • Provisioning позволяет разным точкам назначать разные конфигурации. Настройки можно задавать через CAP Interface напрямую, но через provisioning по идее более удобно и наглядно.

      • Евгений

        Ну тут я поспорю немного совсем. В provisioning нам нужно копировать мак адрес и вставлять в поле соотвественно. В разделе CAP Interface - если провалиться в любую точку и выбрать закладку Wireless то можно в выпадающем меню выбрать Configuration и все настройки поддянутся сами -)

        • provision можно ограничить по identity regexp. Тогда точки только с определенными именами будут подхватывать данный конф.

  43. Даниил

    настройил capsman, все вроде бы работает но есть один маленький нюанс который ужасно бесит, при подлючении через wifi и переходе на любой сайт просиходит подвисание сайта, как будто он не может найти DNS сервер, буквально секунд 15-20 потом сайт открывается, такая фигня только с wifi при подключении через кабель все ок. если сделать пинг по ip по все ок, если же через DNS имя опять происходит подвисание... в чем может быть проблема када копать?
    З.Ы напомню что через кабельное подключение такой проблемы нет.

    • А dns сервер у вас где? Может фаерволом блочите dns запросы на основной dns сервер? По таймауту отваливается запрос и потом через второй резолвится. Это как вариант. А так надо смотреть, как идет dns трафик и анализировать.

      • Даниил

        В общем я разобрался, вся проблема была в DHCP сервере...

        • А что именно за проблема? Не тот dns сервер раздавал?

          • Даниил

            Да, точки доступа получали в качестве первого DNS сервера ip адрес центрального маршрутизатора из-за этого происходила задержка при открытии сайта

  44. Сергей

    Я только после изучения данной статьи по настройке микротик смог все настроить - _mstream.com.ua/mikrotik-bistriy-start.html Хотя у вас более все доступно и с картинками

  45. + в гугле поиск по 'Openwrt + 802.11r'

  46. Из открытого на Openwrt есть openwisp.org/whatis.html

  47. Александр

    День добрый! Инструкция супер, но не совсем ясно как реализовать virtual wlan на mikrotik cap ac через capsman. При установке master\slave config - конфиги применяются к радиомодулям 2.4 и 5, но есть необходимость повесить на них еще и вторую сеть, дабы на каждом модуле крутилось по 2 ssid.

    • Александр

      Сам написал сам разобрался ) Добавлял точки по макам эзернета а не по макам радиомодулей

  48. Zerox, сердечно благодарю ! Самый полезный совет!

    Весь день мучался с Микротиками 951Ui-2HnD, оказалось дело в полном сбросе конфигурации перед настройкой CAPsMAN . В общем прочитал кучу статей про CAPsMAN и понял пока у меня 3 точки доступа можно просто всем выставить один SSID и не мучатся с CAPsMAN, он нужен когда точек реально много и стоит задача раскидать единую (сложную) конфигурацию.

    Ну и наверное надо использовать прошивки только из ветки LongTimeSupport.

    • То есть у вас Capsman заработал после сброса конфигурации? Я бы лично даже с 2-мя точками его настроил. Нет с этим проблем. Я сколько их уже настраивал. Обычно из-за невнимательности ошибки.

      • CAPsMAN в связке 951Ui-2HnD + RouterOS 6.47 Нет так и не заработал. Может если время будет попробую поставить старую стабильную прошивку о которых пишут в статьях про CAPsMAN - RouterOS 6.34 - 6.37

        Настроил 2 точки с одинаковыми SSID - wifi постоянно дает обрывы. Итог: но пока включил 2 на max мощность и дал им разные SSID. Откатился на стабильную прошивку 6.45.9.

        Сбрасывать основной марштрутизатор на котором CAPsMAN сервер не стал, через него доступ в Интернет , не хочу среди рабочего дня без интернета вообще остаться. В общем уже 2 дня потеряно с этим CAPsMAN. Пока отрицательные впечатления от технологии, что то тут не доработано.

        • Аккуратно с максимальной мощностью. Это не всегда приводит к улучшению связи. Хорошо работает аналогия. Когда на рынке все кричат, имеет смысл кричать громче всех, чтобы тебя услышали. Но если в комнате только 2 человека, то лучше говорить обоим на полутонах, нежели кричать друг на друга. Слышно от криков будет хуже.

      • Вот какой вывод у меня получился:
        Микротиком надо:
        1) или постоянно заниматься и делать это основным занятием т.е. бизнесом
        2) или если задача разовая заплатить специалисту из п.1, так как у любой систем на Linux куча тонкостей, особенностей и т.п.
        3) обычному администратору в итоге надо уметь на микротик поменять настройки провайдера и знать 2 команды
        export file=config_backup_0_Level_Master.rsc
        после похода в магазин на новым Микротик выполнить команду
        import file=config_backup_0_Level_Master.rsc

        Кстати, не напишете в личку сколько стоит сбросить 3 точки настроить доступ в Internet + CAPsMAN. Все надоел он мне этот Микротик, нашел старые бакапы восстановил 2 разные WiFi сети.

        • За это кто как берет. Я просто этим не занимаюсь. Если бы был рядом, то за 3000 зашел бы настроить. А удаленно трудно. Тут надо локально по wifi подключаться на месте, проверять.

          Микротик - инструмент для специалистов. С пол тычка его не настроишь, надо разбираться.

  49. Использовал несколько доступных статей по CapMan, но на версии 6.45.8 и 6.47 - после 6-и часов экспериментов запустить не удалось.
    Возможно причина в том что в одном месте работает 3 CAPMAN сети.

    Ошибка при подключении - Неверный пароль пользователя. Настроено точно по этой статьею
    Пробовал сбрасывать точки доступа через ResetConfiguration. Авторизация все равно не проходит.
    Точки подключаются к CAPsMAN серверу через Layer2 их видно на вкладках RemoteCAP и Radio, в RegistrationTable пусто.

    Все статьи о настройке описывают старые версии RouterOS 6.36, возможно в актуальных версиях необходимы другие настройки.
    В описании ошибок RouterOS видно что ошибки в CAPsMAN исправляются. Поэтому на сегодня нельзя считать технологию CAPsMAN стабильной.

    • Вполне она стабильная. Уже сколько лет работает. По этой статье я последний раз несколько месяцев назад настраивал. Все получилось с первого раза. Ко мне часто обращаются люди с просьбой помочь с Capsman. Я помощь всегда начинаю с полного сброса точки с удалением дефолтной конфигурации. Я не знаю, в чем там проблема, но если не сбросить начальную конфигурацию, то capsman потом не работает нормально. То точки не связываются друг с другом, то авторизоваться в сети не получается. Видел такое очень много раз.

  50. Нигде не увидел упоминания о том что CAPs не работает с шириной более 20 Мгц или я не прав?

  51. Андрей

    здравствуйте!
    подскажите как лучше поступить - есть 2х этажный большой дом с 5ю спальнями и гостинной
    в каждой комнате есть розетки для подключения витой пары
    маршрутизатор стоит в подвале дома
    нужно весь дом обеспечить бесшовной wi fi сетью, как лучше это сделать с помощью микротика и капсмена
    планирую в каждую комнату поставить mikrotik hap ac2 подключить их к розеткам витой парой а дальше на одном из них настроить кампсмен и дальше к нему подключить остальные роутеры?
    или как то не правильно я все понимаю)

    • Все правильно. Так и надо делать. Контроллером capsman может быть любая точка. Для такой небольшой сети это не принципиально.

      • Андрей

        а как точки доступа увидят контроллер при учете того что все они будут подключенны к маршрутизатору который стоит в подвале?
        айпишники же будет выдавать маршрутизатор всем роутерам, подключать точки доступа к контроллеру через тот айпишник который ему выдал маршрутизатор?

        • Я так понимаю маршрутизатор выполняет так же роль свитча, к которому подключены все точки. Можно использовать те ip, что маршрутизатор выдаст точкам. Но лично я бы всем точкам прописал статические адреса и вывел их из диапазона dhcp сервера маршрутизатора. Чтобы сеть capsman работала, точки должны видеть друг друга через ethernet подключение.

  52. Аноним

    Добрый день, необходимо ли настраивать Firewall на контроллере и на точке доступа? или можно настроить только на контроллере и этого будет достаточно?

    • Смотря что вы конкретно хотите сделать с помощью фаервола. Если честно, я не помню, как обрабатывается трафик при работе capsman. Можно ли сразу на уровне конкретной точки отсечь какой-то трафик или нужно обязательно его на контроллер сначала подать. В ближайшее время у меня будет глобальное обновление этой статьи. Каркас статьи и подразделы уже сформированы и там будет разобрана настройка firewall в том числе. Протестирую этот момент тоже. Статью ожидаю на этой неделе, но как сложится - не знаю. Материал трудный и нужна тестовая лаборатория.

  53. Виталий

    День добрый!
    На данный момент есть настроенная сеть из 5 точек доступа (mikrotik cap ac), в качестве контроллера выступает mikrotik cloud switch (CRS326-24G-2S+).
    Периодически на некоторых точках доступа, либо сразу по всей сети резко подскакивает пинг до шлюза (cloud switch), вплоть до потери пакетов (пинги по 100-1000мс), в случае аудио/видео-связи начинается рассинхронизация потоков, ухудшение качества вполть до разрыва соединения. С некоторой вероятностью (не 100%) проблема решается перезагрузкой точки доступа.
    Особо ярко это выражено на 5ггц, на 2.4 проблема проявляет себя в меньшей мере. При скане эфира в 5ггц диапазоне кроме нашей сети нет никого, все точки разнесены по своим каналам (36/44/48/56/64) с шириной в 20мгц. 2.4 сеть настроена на 11 канал (2462мгц) на всех точках, ширина канала такая же.
    local forwarding - disabled, client-to-client forwarding - enabled. шифрование сети - wpa2/aes. Есть настройки acl для отключения клиентов с уровнем сигнала меньше чем -78, для некоторых точек стоят более жесткие настройки (-72 и -74). Но по факту не имеет значения как далеко от точки находится клиент - потери могут быть и при сигнале -40--50.
    Клиентское оборудование - в большинстве своем продукция apple (macbook, imac, iphone), но проблемы проявляются и на других беспроводных устройствах. При этом те клиенты, которые подключены по кабелю проблем не замечают в принципе.
    Точки доступа ребутаются раз в день по шедулеру, контроллер еженедельно, так же.
    Подскажите пожалуйста в какую сторону смотреть, так как адекватные идеи уже практически закончились :(

    • А сам трафик смотрели в момент, когда начинаются проблемы? Что там в сети ходит в это время? Возможно кто-то банально забивает каналы связи.

      • Виталий

        Забыл упомянуть) Да, смотрел - не больше чем обычно - порядка 5-100 мбит, обычно 10-50; при гиговом аплинке. По загрузке оборудования - клаудсвитч около 10% процессор, 470/500 памяти свободной. На точках доступа вообще нагрузка 0-5%.
        какого-либо флуда по сети тоже не наблюдается, т.е. когда все падает и кол-во пакетов/сек на интерфейсах точек доступа начинает стремиться к 0.
        В логах капсмана - ничего интересного, авторизация/миграция клиентов с точки на точку, дхцп логи тоже чистые.

    • Аноним

      Добрый день! Та же проблема. Не нашли решение?

  54. Приветствую.

    Спасибо за статью. Настроил впервые MikroTik и оно завелось. Даже смог на два провайдера настроить (по какой-то другой статье).

    Но в процессе эксплуатации выявилась проблема со скоростью WiFi: на точках доступа MikroTik скорость порой падает до 6Mbit... А по кабелю всё ок.

    В контроллере для капсов в настройках вайфая не применяется ширина канала 40Mhz, может в этом проблема? Точнее она применяется, но тогда не один капс не подхватывается и вся сеть по воздуху не подымается. Второй день гуглежа и экспериментов с настройкой с нуля не помог мне.

    Видимо я допускаю одну и ту же ошибку. Я уже не знаю какие поисковые запросы формулировать. Прошу информационной помощи.

    • Чем проверяете скорость? Бывает, что сами абонентские устройства не умеют быстро соединяться.

      • Добрый вечер. С праздником.

        Я проверяю с нескольких телефонов и с двух ноутов. + в капсмане в последней вкладке видны клиенты и их скорость подключения или передаче данных.

        Я предполагаю, что налажал с настройками канала 2.4Ghz. Я не прописывал частоту канала для каждого капса. По идее должно само рапределять частоты (читал в какой-то инструкции про это). Еще буду пробовать в эту сторону. Хотя точек пока всего 4. Не должны же они так сильно фонить друг-другу эфир. Часный дом, indor.

        Абоненты успешно подключаются к сети на _ширине канала:_ 20 и при _extension channel:_ disabled.
        Различные комбинации этих параметров иногда давали более высокую скорость подключения абонентов аж до 300 мегабобиков, но без инета или вообще без доступа к сети.

        Я признал свой недостаток знаний и обратился сегодня к первому мастеру MikroTik из запроса в гугл — он не смог. Видимо такой же "мастер" как и я )))

        Знаю, должно работать! Отсыпте знаний ))

        Ибо, чувствую, я так долго буду тыкать пальцем в ж... и не факт, что решу проблему.

        • Аноним

          А как ваши микротики друг с другом соединены? Проводом или по WiFi? Если по WiFi а-ля mash, то скорость падает с каждым подключенным к сети устройством. Тут не микротик причина, а законы физики и маршрутизации. Решения два: соединение проводом или разводка mash или wds на 5ГГц, а клиентов на 2,4ГГц (можно и наоборот).

          Насколько близко расположены друг к другу?
          Может быть так, что точка 1 и 2 из четырех расположены слишком близко друг к другу. В момент переключения от 1 к 3 устройство (мобильный) зависает на точке 2. Из-за того, что контроллер видел "переброс", он оставляет устройство на точке 2, хотя уровень сигнала низкий и вы наблюдаете 1-5 Мбит. При этом если вручную выключить WiFi на мобильном, а затеи включить, то устройство подключается к точке 3 (она дает сигнал мощнее).
          Решение - убрать промежуточную точку, на которой "зависает" устройство при переключении.
          Сталкивался с обеими ситуациями на оборудовании Edimax Pro в частных домах на 2-3 этажа.

          • Все точки соеденены по UTP.

            Интересная мысль про недопереход от точки к точке. Тут можно сделать принудительный сброс абонента при определенном уровне сигнала. Тоже поексперементирую. Спасибо.

            Но проблема в том, что скорость в любой точке дома не выше 50Мбит. Хотя band пробовал и в only n.

            • Дмитрий

              В 2,4ГГц вы больше 30-50 не получите, это законы физики :) Больше скорость может быть только на 5ГГц.
              Скорость соединения между устройством и точкой доступа может быть 144Mbps, но при замере скорости все равно будет 30-50.

              • Это понятно. Но не с падением до 5-6Мбит же...

                Да и на 2.4, при нескольких антенах, можно достичь большего чем 50Мбит замера.

            • Скорость сильно зависит от загруженности эфира. В офисах это частая проблема. Скорость подключения очень низкая и коннект нестабильный. Делаешь проверку эфира и видишь там 30 других wifi сетей. В таких условиях в принципе невозможна быстрая связь. Зачастую в квартирах такая же картина.

          • Сергей

            Решил отписаться о результатах.

            Проблему исправил. даже на 2.4 поднялась скорость до 98мбит (больше провайдер не дает). Но такая скорость доступна только для двух антенных клиентов.

            Причина падения скорости была в петле. На одной, а потом и на дополнительной (доставлял еще несколько) точках я как-то умудрился в `brige` прописать мак-адрес локальной точки. Точнее я не прописывал, а "оно само" )) Хотя настраивал каждую точку по одному шаблону.

            Настройку ширины канала я так и не осилил.

            И еще: берите сразу двухдиапазонные точки! Когда в доме более тридцати клиентов... даже горшки цветочные, то без второго диапазона туго.

            • Отабек

              Сергей, у нас такая же проблема. Но что-то мы не нашли эту петлю. Можете пожалуйста поподробнее описать как вы решили проблему со скорость Wi-Fi. Спасибо!

              • Сергей

                Я уже не так хорошо помню этот момент.

                И нет гарантии, что у вас в сети петля — смотрите в логах контроллера, там это подсвечивается другим цветом.

                Недавно для себя открыл, что можно не просто делать `Reset Configuration` в ноль перед настройкой, а выбирать `CAPs Mode`.
                Такой подход сэкономил мне кучу времени в подключении капсов. Точки сходу подхватили настройки контроллера и никаких петель или еще чего из-за моих рук... Но стоить помнить (!), что такой способ далек от идеала и все равно требует доработки некоторых настроек, например, некоторых параметров безопасности (как минимум).

  55. А возможно саму точку доступа сделать контроллером CAPSMAN?
    К примеру 5 точек доступа, все скоммутированы на одном свиче.
    Одну точку доступа (RBcAPGi-5acD2nD, RouterOS4) назначаем контроллером.
    Это возможно (если нет, почему)? Спасибо.

    • Да, возможно. Роль контроллера и точки доступа может одновременно выполнять одно устройство.

  56. андрей

    Есть сеть wi-fi c настроенным CAPsMAN, (спасибо вам),ПОЯВИЛАСЬ вводная мероприятие на 300 человек в актовом зале,вопрос кто знает если я поставлю в зале 3 точки MikroTik RBcAPGi-5acD2nD cAP они потянут сто клиентов.И если кто знает где задается лимит клиетов на точки.

    • Аноним

      Не надо лимит клиентов на точки ставить, там можно поставить группу одну на все точки, тогда оно будет балансировать между точками клиентов.

      Load Balancing Group - так и называется.

      • Андрей

        Добрый день,вчера весь день искал примеры в гугле так и не нашел,я просто на роутере ставлю в configurations.... load balancinng group, ставлю какоето имя группе (например 1),и далее на точках выбираю эту группу так.

  57. Владимир

    Добрый вечер, имею hEX как контроллер и 2шт cAP AC с 2.4Ггц и 5Ггц интерфейсами.
    по инструкции настроил на 2.4Ггц интерфейс, но как сделать так же чтобы и 5Ггц интерфейс заработал через контроллер?

    • Нужно создать в капсмане пошагово все настройки как для 2.4, только для 5Ghz. А именно Chanel, Security, Datapath. И подвязать эти настройки к тому же конфигу, что и 2.4Ghz.

      • Не совсем так. Для 5ГГц надо настраивать channel, configuration и свой provision. Datapath и security можно использовать те же, что и 2.4ГГц.

  58. Николай

    Добрый день. Настроил по данной инструкции но сам роутер не управляется CAPsMAN только точка, железяки такие RB952Ui-5AC2nD и RBmAPL-2nD. Прошивки на обеих железяках 6.45.6 В чем может быть проблема?

  59. Добрый день,

    Возможно подключить в CAPsMAN два радиус сервера, чтобы для каждого SSID был свой радиус?

    • Приветствую.
      Можно на одном радиусе настроить разное поведение для разных ссидов.

      А вот два радиуса... вряд ли...

  60. Возможно подключить два радиуса в capsman, на каждый SSID свой радиус сервер?
    Искал и не нашел

  61. Ананимусы

    сделал как написано, 2 точки с нуля, но естественно видят друг друга через маршрутизатор и коммутатор.
    пропало все - ни одной точки теперь не видать)))

  62. Здравствуйте!
    Выбираю оборудование, нужны две точки, с Mikrotik совершенно не знаком :)
    Я правильно понимаю, что с двумя hAP ac lite эта схема не будет работать, т.к. они не роутеры? Какое минимальное оборудование с 5ГГц нужно, чтобы схема работала?
    Если эти два устройства цеплять не друг за дружку, а параллельно - к коммутатору, схема будет работать?
    Спасибо!

    • С hAP ac lite будет работать. Подойдет любой роутер mikrotik. hAP ac lite это тоже роутер. Чтобы все работало нормально, надо каждый роутер подключить проводом к свитчу.

  63. Добрый день, подскажите, лучше всего строить бесшовный роуминг через ютп? по вай фай возможно ли настроить? (если да киньте линку пожалуйста)

    • Однозначно по utp. По wifi теоретически можно настроить, но я не представляю, какое это будет качество работы. Оно должно быть очень плохое.

  64. Еще ни где не предупреждают если сам контроллер в режиме capsman, в вебинтерфейсе на странице быстрой настройки нельзя нажимать применить, скинет все pppoe все настройки

  65. Я лично не проверял обновление до версии v2 цитата
    Ну если не проверять ху.. писать писарь
    Я закупал партию 4 микро + 2011 контоллер и так совпало прислали из страны изготовителя, обновляю прошивку и она с глюком настройки не сохраняются.
    У Capsman еще глюк все настроенно wifi светит пароль верный падключится невозможно dhcp работает

  66. Дмитрий

    У меня вопрос, при подключении интерфейса самого контроллера к CAPsMAN, он автоматом становится в CAP mode и сразу теряются настройки PPPoe соединения и DHCP сервера на контроллере.
    Возможен ли оставить эти настройки?

    • Андрей

      Решили вопрос? Вроде бы, не должно так быть. Грешу на прошивку или на настройки, попробую сбросить к заводским.

      • Андрей

        В общем, я решил вопрос, и это однозначно баг routerOS. Пробовал 6.42.6 и 6.40.8. После включения CAP в настройках wi-fi на роутере, который является контроллером CAPSMAN, в quick set режим переключается на CAP. Home AP или WISP AP выставить можно, но не сохраняет. Отключаешь CAP в настройках wi-fi, режим в quick set тут же сам меняется на CPE. И шил, и сбрасывал настройки, бесполезно. А решил так: сбросил, настроил quick set как Home AP, настроил всё остальное и не заходил больше в quick set)) Но если зайти, режим снова сбросится на CAP. Наверняка, это баг.

        • Аноним

          quick set низя!!! ни при каким соусом что-то сохранять )))
          и туда заходить в целом и частности ..потом такие чудеса вылазят ..

  67. Спасибо большое за отличную статью!

    Вопрос: сейчас успешно работает hap lite + hap lite. Хочу еще несколько таких же hap lite подключить, но не к главному контроллеру, а каскадом, один в другого через кабель. Можно ли такое сделать и как?

    Спасибо большое.

  68. Алексей

    Здравствуйте!
    Не совсем понял из статьи, что подразумевается под понятием "бесшовный"?

    Никаких стандартов быстрого роуминга (802.11k, 802.11r, 802.11v) Mikrotik не поддерживает.
    Может у Mikrotik есть какие-то проприетарные протоколы быстрого роуминга? Гугл говорит, что ничего такого у Mikrotik нет.

    Сам контроллер CAPsMAN лишь обеспечивает централизованную настройку точек доступа. При чём тут "бесшовность"?

    • Суть в том что "бесшовного" Вайфая нет в природе. Даже на самой свежей технологии потери, очень маленькие но есть ведь. Мало того для того что бы осуществить безупречную работу этих протоколов должны быть идеальные условия, только вайфай роумин = только клиенты поддерживающие вайфай роумин.
      Да и вообще, вайфай это бред, только голова болит от этих выдумок... беспроводной интернет блин, круче кабеля только "яйца в крутую". А все остальное пляски с бубном.

      P.S. Автору спасибо за статью. Сейчас построим WiFi балансир =)

  69. Здравствуйте. У меня возникла такая же проблема при настройке, по вашей статье.
    свой же Wi-Fi не подключается к контроллеру Capsman. Два других сторонних подключенных к основному роутеру нормально подцепились и завелись. А вот свой Wi-Fi он почему то не хочет, Versia 6.40.5 на все устроистваю

  70. Алексей

    Добрый день, моя ошибка описывалась выше такая же как :

    Здравствуйте. У меня возникла проблема при настройке, по вашей статье.
    свой же Wi-Fi не подключается к контроллеру Capsman. Два других сторонних подключенных к основному роутеру нормально подцепились и завелись. А вот свой Wi-Fi он почему то не хочет, как только подключаешь его к Capsman ,он выключает встроенный Wi-Fi и все, приплыли. В статусе интерфейса написано managed by Capsman , при этом параметры от самого контроллера Wi-Fi так и не получает. Скриншот ниже такой же как у меня

    http://cdn1.savepice.ru/uploads/2017/7/19/6583ca23f16afce2574828a111acfd6e-full.jpg

    • Посмотрите логи.

      И откройте вкладку IP - Addresses

      Возможно вы не прописали в адресах - маску.

      • Константин

        Здравствуйте. Точно такая-же проблема.
        В логах чисто, маска есть.
        Этот маршрутизатор давно работает, и стабильно раздавал инет и по проводу и без него, но понадобились больше точек..

      • Константин

        Забыл дописать, что две другие точки подцепились и стабильно работают.

    • Константин

      Проблема решена.
      Решается добавлением правила в файрволл:
      /ip firewall filter
      add action=accept chain=input dst-address-type=local src-address-type=local

      Настройка взята отсюда:
      https://wiki.mikrotik.com/wiki/Manual:Simple_CAPsMAN_setup

  71. все решилось, ошибка была в моем ДНК, а конкретнее в этой строке add address=10.35.0.1 interface=bridgeopen network=10.35.0.0

    • Я, кстати, с такой ошибкой тоже часто сталкиваюсь и уже привык первым делом проверять, не ошибся ли в назначении адреса. Этот момент в микротиках не очевидный и иногда без примера перед глазами я не могу вспомнить, какая запись будет корректной.

  72. Вечер добрый. Настроил все по вашему мануалу. Поднялось почти все... но по wifi интернета нет. То есть точку доступа видит, подключается запросив пароль. Но интернет отсуствует на устройствах которые подключаются через wifi. Все остальные что подключены проводом работают прекрасно. В какую стороны рыть?

    • firewall, NAT, bridge проверить.

      • Проверил. Выключил несколько правил в firewall, заработал интернет через wifi.
        но при этом вычислил что интернета на второй ТД нет. Но при этом она пропускает через себя спокойно мультикаст (который я настроил дополнительно). то есть IPTV показывает, фильмы из приложения провайдера тоже показывает. А интернета не дает.. то есть wifi работает по умолчанию только на контроллере. Обе ТД одинаковые rb951g. при этом, когда я втыкаю шнурок от первого роутера в 1 wan порт второй ТД, то при этом тухнет wifi на второй ТД. И не работают никакие ресурся. Даже мультикаст. То есть wan порт как то обособлен, и почему то не находится в bridge, хотя все необходимые настройки сделаны.. Сижу теперь ломаю голову, и не могу понять, что делать...

        • У вас явно что-то напутано. Каких-то особенных настроек для интернета по capsman делать не надо. В базовой конфигурации все настраивается с ходу, почти как с одной точкой доступа.

          • ну capsman я настраивал поверх своей конфигурации с мультикастом. Но не думаю что это имело какое то особое значение.. но завтра я попробую сбросить все настройки опять в ноль, и снова настрою поочередно все.. мож правда где то затык случается.. завтра отпишусь, по результатам.

            • видимо уменя такая же проблема, вы могли бы подсказать как решили ее?

              • пока никак( отдал на ковыряние спецу с более высоким левелом)

              • Я сегодня вечером по этой статье буду настраивать две точки RB2011, проверю статью. Если в ней будут какие-то нестыковки, исправлю и отпишусь здесь.

        • Я только что настроил Capsman на двух точка RB2011 по этой статье и соседней, про базовую настройку роутера микротик. Сначала настраиваем саму точку, NAT, DNS и т.д. Потом по этой статье капсман. Конечно, некоторые пункты меню немного поменялись в последней версии прошивки, но не принципиально. Все основные моменты здесь отражены. По статье получается рабочий вариант. На днях только картинки обновлю в соответствии с новой версией прошивок.

          • у меня затык в том, что я создал отдельный бридж для открытой сети, и указал его в datapath, все мои CAP-ы стали в этом бридже, так же для него создал отдельную подсеть, тоесть в addresses прописал этому бриджу адрес 10.35.0.1, 10.35.0.0, и DHCP создал для него же. Когда клиенты подключаются по гостевому wifi открытому, они получают DHCP, все ок, их видно в разделе leases, но у них отсутствует интернет, и так же я не могу клиентов этой подсети пинговать с микротика, и с устройства подключенного к этой сети не могу пинговать микротик. Подскажите пожалуйста где я торможу?

            • Аноним

              конфиг выложите, для полной ясности картины

              • Вот конфиг
                /caps-man channel
                add band=2ghz-b/g/n frequency=2412 name=channel1 tx-power=20
                /interface bridge
                add name=bridge
                add name=bridgeopen
                add bridge=bridge client-to-client-forwarding=yes local-forwarding=no name=\
                datapath1
                add bridge=bridge client-to-client-forwarding=yes name=datapath2
                /caps-man security
                add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
                name=security1 passphrase=ch153privatewifi
                add name=open
                /caps-man configuration
                add channel=channel1 country=kazakhstan datapath=datapath1 hide-ssid=yes \
                mode=ap name=cfg1 rx-chains=0,1,2 security=security1 ssid=amid-private \
                tx-chains=0,1,2
                add channel=channel1 country=kazakhstan datapath=datapath2 mode=ap name=\
                cfgopen rx-chains=0,1,2 security=open ssid=amid tx-chains=0,1,2
                /interface wireless security-profiles
                set [ find default=yes ] supplicant-identity=MikroTik
                /ip ipsec policy group
                set [ find default=yes ] name=group1
                /ip ipsec proposal
                set [ find default=yes ] auth-algorithms=sha1,md5 enc-algorithms=\
                aes-256-cbc,aes-128-cbc,3des lifetime=8h pfs-group=none
                /ip pool
                add name=lan-local ranges=192.168.10.130-192.168.10.199
                add name=guestwifi ranges=10.35.0.2-10.35.0.254
                /ip dhcp-server
                add address-pool=lan-local authoritative=after-2sec-delay disabled=no \
                interface=bridge lease-time=1h name=lan-local
                add address-pool=guestwifi disabled=no interface=bridgeopen name=guestwifi
                /caps-man manager
                set enabled=yes
                /caps-man provisioning
                add action=create-dynamic-enabled hw-supported-modes=b,gn \
                master-configuration=cfg1 slave-configurations=cfgopen
                /interface bridge port
                add bridge=bridge interface=ether4-server
                add bridge=bridge interface=ether5-lan-server
                add bridge=bridge interface=ether7-lan-1stfloor
                add bridge=bridge interface=ether8-lan-2ndfloor
                add bridge=bridge interface=ether9-lan-conf
                add bridge=bridge interface=ether10-ip-pbx
                add bridge=bridge interface=ether6-lan-ipcam
                /ip address
                add address=192.168.10.1/24 interface=bridge network=192.168.10.0
                add address=192.168.12.1/24 interface=ether6-lan-ipcam network=192.168.12.0
                add address=10.35.0.1 interface=bridgeopen network=10.35.0.0
                /ip dhcp-client
                add dhcp-options=hostname,clientid disabled=no interface=ether3-zyxel-lte
                /ip dns
                set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
                /ip firewall address-list
                add address=10.10.35.0/24 list=lan-route-exclude-IP
                add address=192.168.40.0/24 list=lan-route-exclude-IP
                add address=192.168.10.0/24 list=lan-route-exclude-IP
                add address=192.168.12.0/24 list=lan-route-exclude-IP
                add address=192.168.20.0/24 list=lan-route-exclude-IP
                add address=192.168.30.0/24 list=lan-route-exclude-IP
                add address=192.168.100.0/24 list=lan-route-exclude-IP
                add address=192.168.110.0/24 list=lan-route-exclude-IP
                add address=192.168.120.0/24 list=lan-route-exclude-IP
                add address=192.168.130.0/24 list=lan-route-exclude-IP
                add address=192.168.200.0/24 list=lan-route-exclude-IP
                add address=192.168.10.0/24 list=ISP1-client
                add address=10.10.45.0/24 list=ISP2-client
                add address=10.65.0.0/24 list=lan-route-exclude-IP
                add address=10.66.0.0/19 list=lan-route-exclude-IP
                add address=10.66.7.0/24 list=lan-route-exclude-IP
                add address=10.65.0.2 list=lan-route-exclude-IP
                add address=192.168.99.0/24 list=lan-route-exclude-IP
                add address=66.220.144.0/21 comment=facebook disabled=yes list=block-facebook
                /ip firewall filter
                add action=passthrough chain=unused-hs-chain comment=\
                "place hotspot rules here" disabled=yes
                add action=drop chain=input dst-port=53 in-interface=pppoe-ISP1 protocol=udp
                add action=accept chain=input protocol=gre
                add action=accept chain=input protocol=ipsec-esp
                add action=accept chain=input protocol=udp src-port=4500
                add action=accept chain=input dst-port=5060 protocol=udp src-port=5060
                add action=accept chain=input dst-port=1723 protocol=tcp
                add action=drop chain=input dst-port=53 in-interface=pppoe-ISP2 protocol=udp
                add action=drop chain=input dst-port=53 in-interface=pppoe-ISP1 protocol=tcp
                add action=drop chain=input dst-port=53 in-interface=pppoe-ISP2 protocol=tcp
                add action=jump chain=forward connection-state=new disabled=yes jump-target=\
                block-ddos
                add action=return chain=block-ddos disabled=yes dst-limit=\
                50,50,src-and-dst-addresses/10s
                add action=accept chain=input src-address=127.0.0.1
                /ip firewall mangle
                add action=mark-routing chain=prerouting dst-address-list=\
                !lan-route-exclude-IP new-routing-mark=ISP1-out passthrough=yes \
                src-address-list=ISP1-client
                add action=mark-routing chain=prerouting dst-address-list=\
                !lan-route-exclude-IP new-routing-mark=ISP2-out passthrough=yes \
                src-address-list=ISP2-client
                add action=mark-connection chain=input comment=\
                "Mark input connection from ISP1" in-interface=pppoe-ISP1 \
                new-connection-mark=ISP1-cin passthrough=yes
                add action=mark-connection chain=input comment=\
                "Mark input connection from ISP2" in-interface=pppoe-ISP2 \
                new-connection-mark=ISP2-cin passthrough=yes
                add action=mark-routing chain=output comment=\
                "Mark output connection for routing mark to ISP1" connection-mark=\
                ISP1-cin new-routing-mark=ISP1-out passthrough=yes
                add action=mark-routing chain=output comment=\
                "Mark output connection for routing mark to ISP2" connection-mark=\
                ISP2-cin new-routing-mark=ISP2-out passthrough=yes
                /ip firewall nat
                add action=passthrough chain=unused-hs-chain comment=\
                "place hotspot rules here" disabled=yes
                add action=masquerade chain=srcnat comment=ISP1 out-interface=pppoe-ISP1
                add action=masquerade chain=srcnat comment=ISP2 out-interface=pppoe-ISP2
                add action=netmap chain=dstnat dst-port=3389 in-interface=pppoe-ISP1 \
                protocol=tcp to-addresses=192.168.10.90 to-ports=3389
                add action=netmap chain=dstnat dst-port=8000 in-interface=pppoe-ISP1 \
                protocol=tcp to-addresses=192.168.12.10 to-ports=8000
                add action=netmap chain=dstnat dst-port=8000 in-interface=pppoe-ISP1 \
                protocol=udp to-addresses=192.168.12.10 to-ports=8000
                add action=netmap chain=dstnat dst-port=10000-65000 in-interface=pppoe-ISP2 \
                protocol=udp to-addresses=192.168.10.15 to-ports=10000-65000
                add action=netmap chain=dstnat dst-port=10000-65000 in-interface=pppoe-ISP1 \
                log=yes protocol=udp to-addresses=192.168.10.15 to-ports=10000-65000
                add action=netmap chain=dstnat comment=IDPHONE dst-port=5060 in-interface=\
                pppoe-ISP1 protocol=udp to-addresses=192.168.10.15 to-ports=5060
                add action=netmap chain=dstnat comment=IDPHONE dst-port=5060 in-interface=\
                pppoe-ISP2 protocol=tcp to-addresses=192.168.10.15 to-ports=5060
                add action=netmap chain=dstnat comment=IDPHONE dst-port=5060 in-interface=\
                pppoe-ISP2 protocol=udp to-addresses=192.168.10.15 to-ports=5060
                /ip ipsec peer
                add dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des exchange-mode=\
                main-l2tp generate-policy=port-override secret=1234
                /ip route
                add comment="Out route over pppoe-ISP1" distance=1 gateway=\
                82.200.242.218%pppoe-ISP1 routing-mark=ISP1-out
                add comment="Out route over pppoe-ISP2" distance=2 gateway=\
                82.200.242.218%pppoe-ISP2 routing-mark=ISP2-out
                add comment=Default distance=1 gateway=pppoe-ISP1
                add distance=1 gateway=ether3-zyxel-lte
                add distance=1 dst-address=8.8.4.4/32 gateway=pppoe-ISP2
                add distance=1 dst-address=8.8.8.8/32 gateway=pppoe-ISP1
                add distance=1 dst-address=192.168.20.0/24 gateway=10.10.35.20
                add distance=1 dst-address=192.168.30.0/24 gateway=10.10.35.30
                add distance=1 dst-address=192.168.40.0/24 gateway=10.10.35.40
                add distance=1 dst-address=192.168.99.0/24 gateway=l2tp-breadgreen
                add distance=1 dst-address=192.168.100.0/24 gateway=10.10.35.100
                add distance=1 dst-address=192.168.110.0/24 gateway=10.10.35.110
                add distance=1 dst-address=192.168.120.0/24 gateway=10.10.35.120
                add distance=1 dst-address=192.168.130.0/24 gateway=10.10.35.130

  73. Привет! Всё очень подробно и понятно написано, спасибо! Есть вопрос по Virtual AP на 192.168.1.3 точке.
    Менеджер capsman работает. создаются два интерфейса на 2.4 и 5. Но почему то не создается виртуальная AP.

    Вот настройка основного capsman
    RouterOS 6.37.3

    /caps-man channel
    add band=5ghz-a/n/ac extension-channel=Ce frequency=5180 name=channel_5g \
    tx-power=20 width=20
    add band=2ghz-b/g/n extension-channel=disabled frequency=2437 name=channel_2_4g \
    tx-power=20 width=20

    /interface bridge
    add name=bridge_main
    add name=bridge_object

    /caps-man datapath
    add bridge=bridge_main local-forwarding=no name=datapath1
    /caps-man security
    add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security1 passphrase=T1vya3FvL
    add authentication-types="" encryption="" name=Guest
    /caps-man configuration
    add channel=channel_5g country=russia datapath=datapath1 mode=ap name=cfg_5 \
    rx-chains=0,1,2 security=security1 ssid=Bwf5 tx-chains=0,1,2
    add channel=channel_2_4g country=russia datapath=datapath1 mode=ap name=\
    cfg_2_4g rx-chains=0,1,2 security=security1 ssid=Bwf24 tx-chains=0,1,2
    add channel=channel_2_4g datapath=datapath1 name=cfg_2_4g_guest security=Guest \
    ssid=Bwf24_guest
    /caps-man interface
    add arp=enabled channel=channel_2_4g configuration=cfg_2_4g disabled=no l2mtu=\
    1600 mac-address=6C:3B:6B:82:FF:3B master-interface=none mtu=1500 name=\
    wf_01_2_4g radio-mac=6C:3B:6B:82:FF:3B
    add arp=enabled channel=channel_5g configuration=cfg_5 disabled=no l2mtu=1600 \
    mac-address=6C:3B:6B:82:FF:3A master-interface=none mtu=1500 name=wf_01_5g \
    radio-mac=6C:3B:6B:82:FF:3A
    add arp=enabled channel=channel_2_4g configuration=cfg_2_4g disabled=no l2mtu=\
    1600 mac-address=6C:3B:6B:82:FF:5E master-interface=none mtu=1500 name=\
    wf_02_2_4g radio-mac=6C:3B:6B:82:FF:5E
    add arp=enabled channel=channel_5g configuration=cfg_5 disabled=no l2mtu=1600 \
    mac-address=6C:3B:6B:82:FF:5D master-interface=none mtu=1500 name=wf_02_5g \
    radio-mac=6C:3B:6B:82:FF:5D
    add arp=enabled channel=channel_2_4g configuration=cfg_2_4g disabled=no l2mtu=\
    1600 mac-address=6C:3B:6B:89:89:FB master-interface=none mtu=1500 name=\
    wf_03_2_4g radio-mac=6C:3B:6B:89:89:FB
    add arp=enabled channel=channel_5g configuration=cfg_5 disabled=no l2mtu=1600 \
    mac-address=6C:3B:6B:89:89:FA master-interface=none mtu=1500 name=wf_03_5g \
    radio-mac=6C:3B:6B:89:89:FA
    add arp=enabled channel=channel_2_4g configuration=cfg_2_4g disabled=no l2mtu=\
    1600 mac-address=6C:3B:6B:63:52:52 master-interface=none mtu=1500 name=\
    wf_04_2_4g radio-mac=6C:3B:6B:63:52:52
    add arp=enabled channel=channel_5g configuration=cfg_5 disabled=no l2mtu=1600 \
    mac-address=6C:3B:6B:63:52:51 master-interface=none mtu=1500 name=wf_04_5g \
    radio-mac=6C:3B:6B:63:52:51
    add arp=enabled channel=channel_2_4g configuration=cfg_2_4g disabled=no l2mtu=\
    1600 mac-address=6C:3B:6B:75:96:17 master-interface=none mtu=1500 name=\
    wf_05_2_4g radio-mac=6C:3B:6B:75:96:17
    add arp=enabled channel=channel_5g configuration=cfg_5 disabled=no l2mtu=1600 \
    mac-address=6C:3B:6B:75:96:16 master-interface=none mtu=1500 name=wf_05_5g \
    radio-mac=6C:3B:6B:75:96:16
    /interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=MikroTik

    /caps-man manager
    set enabled=yes
    /caps-man provisioning
    add action=create-dynamic-enabled hw-supported-modes=an,ac \
    master-configuration=cfg_5
    add action=create-dynamic-enabled hw-supported-modes=b,gn master-configuration=\
    cfg_2_4g slave-configurations=cfg_2_4g_guest

    Вот настройки на второй точке
    RouterOS 6.38.3
    /interface bridge
    add name=bridge1
    /interface wireless
    # managed by CAPsMAN
    # channel: 2437/20/gn(20dBm), SSID: Bwf24, CAPsMAN forwarding
    set [ find default-name=wlan1 ] ssid=MikroTik
    # managed by CAPsMAN
    # channel: 5180/20-Ce/ac(20dBm), SSID: Bwf5, CAPsMAN forwarding
    set [ find default-name=wlan2 ] ssid=MikroTik
    /interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=MikroTik
    /ip hotspot profile
    set [ find default=yes ] html-directory=flash/hotspot
    /interface bridge port
    add bridge=bridge1 interface=ether2
    add bridge=bridge1 interface=ether3
    add bridge=bridge1 interface=ether4
    add bridge=bridge1 interface=ether5
    add bridge=bridge1 interface=ether1
    /interface wireless cap
    #
    set bridge=bridge1 caps-man-addresses=192.168.0.1 discovery-interfaces=ether2 \
    enabled=yes interfaces=wlan1,wlan2
    /ip address
    add address=192.168.0.16/24 interface=ether2 network=192.168.0.0

  74. владимир

    ОЧЕНЬ МНОГО ОШИБОК. ЕСЛИ НАСТРАИВАТЬ ТОЧНО ПО ВАШЕЙ ВЕРСИИ - НЕ РАБОТАЕТ!

    • Ну конечно, почти 100 000 человек прочитали, и ни один не написал, что статья неверная. Если что-то не работает, то есть как минимум еще одна версия, кроме неверной статьи - кто-то что-то не так делает.

  75. Добрый день. Я правильно понимаю, что между собой роутеры соединяются по кабелю utp, а не по WIFI?

    • Да, верно. Теоретически можно и по wifi соединять. Но если понимать, как практически на физическом уровне работает wifi связь, то станет понятно, что нормально и быстро это работать не сможет.

  76. Здравствуйте, подскажите, есть роутер RB962UIGS-5HACT2HNT, был с прошивкой 6.35 и был пакет wireless-cm2 и wireless-fb (неактивный) обновился до 6.40.3 и эти пакеты пропали, появился пакет wireless, скачиваю с оф. сайта микротик MIPSBE экстра пакет, но там есть только пакет wireless, что не так?

  77. Коллеги, вопрос.
    В капсе в datapath интерфейсом ставится бридж, а в этот бридж бриджуются динамические интерфейсы капса, вручную(на бридж вешается ip адрес и тд). Ну т.е. bridge1, в этом бридже порты - интерфейсы cap1 и cap2(динамические). Все ок. Но после перезагрузки роутера, интерфейс меняет имя и соотвестственно в бридже unknown интерфейс(поскольку он уже не cap1 а cap3). Что не не так???

    • Разобрался. В бридж порты попадают автоматом. Я просто не связал config с datapath(в configuration не прописал созданный datapath)

  78. Алексей

    Ну .. по поводу гостевого ВИФИ - при наличии галки локал форвардинг - вы прямо скажем загнули ... Не будет так гостевой ВИФИ никакой... (при локал форвардинг нельзя разнести физический и виртуальный интерфейс на точке по разным свитчам, они оба будут в том бридже, что указан в настройке CAP, из датапатча влан теги тоже не забираются в итоге которые нужно на вифи поставить, понять не могу как сие чудо заставить работать корректно с галкой локал форвардинг)

    А вот как сделать, чтобы при наличии галки локал форвардинг сеть таки гостевая была я что-то не соображу ...

    Никто не сталкивался с этим?

    • Аноним

      Анологичная ситуация с гостевой сетью, с этой галочкой инте есть, лок ресурсы открыты и закрытие маршрутов не помогает ( в рульсах)

      Вы смогли решить эту задачу?

  79. Здравствуйте. У меня возникла проблема при настройке, по вашей статье.
    Не понятно почему не подключается к контроллеру свой же Wi-Fi. Другой микротик прекрасно подключился, а родной WiFi не хочет работать.
    В интерфейсах CAPsMAN отображается только одно подключение(от другого микротика). Сам вайфай - на том Микротике, где стоит контроллер рабочий. А в WirelesTable, этот wlan, отображается серым цветом, как будто он не активен.
    Три раза все настройки проверял, по разным статьям. Не могу понять где косяк...
    Помогите, пожалуйста.
    Вот скрин
    http://cdn1.savepice.ru/uploads/2017/7/19/6583ca23f16afce2574828a111acfd6e-full.jpg

  80. Дмитрий

    Вопрос к автору про "бесшовность Wi-Fi" на базе этих точек - в этому случае онлайн звонки обрываются или нет? Youtube не предлагать - там кэш на устройстве. Интересуют Skype, Whatsapp и другие.

    1) Мне приходилось настраивать "бесшовный wifi" на обычных роутерах Asus - и там во многих моделях есть опция Roaming Assistant, которая по достижению определенного уровня сигнала клиента (-70-85dBi) "отбрасывает" его принудительно. Клиент при этом автоматом подключается к другой точке с более мощным сигналом. Функция реализована на оборудовании от 1400р (стандарт N только).
    2) Есть опыт настройки бесшовного wifi на точках доступа Edimax Pro (WAP1750, CAP1200 и проч), которые умеют выступать Контроллером точек доступа (до 8 точек.).

    В случае 1 - при онлайн звонках связь рвется, т.к. каждый раз устройство вынуждено проходить авторизацию.
    В случае 2 - при онлайн звонках связь продолжает работать при переключении между точками. И контроллер тут как раз выступает в роли управленца - если точка перемещается в определенную зону с лучшим покрытием (даже не пороговым на отключение -80dBi), то контроллер "перебрасывает" ее на лучшую точку, еще и балансировка нагрузки учитывается при переключении.

    • Врать не буду, не тестировал онлайн разговоры, а сейчас нет под рукой сети, чтобы проверить. При возможности, проверю, самому любопытно. Может кто-нибудь еще подскажет, у кого есть возможность проверить.

  81. У меня такая проблема: клиенты которые подключаются к CaP не получают правильных настроек по DHCP. На контроллере видно в логе dhcp offering lease without success (и мак клиента). Не подскажете в чем может быть проблема?

  82. Подскажите при подключение к Wi-Fi пишет без доступа к интернет, напрямую через кабель работает! в Чем омжет быть проблема&еще в настройках он не омжет подцепить шлюз и dns

  83. Евгений

    Спасибо автору за отличную статью. Хочу сделать небольшое уточнение по настройкам: "Описание настроек Provisioning" --> "Hw. Supported Modes" отмечено что непонятно для чего эта настройка. Методом тыка было установлено, что при включении CAP на устройстве с двумя wlan т.е с 2.4GHz и 5GHz контроллер может установить для wlan 5GHz настройки от wlan 2.4GHz (просто потому что они идут первыми в списке Provisioning). А если в строке Hw. Supported Modes выбрать значение соответствующее Band в настройке CAPs channel, то в моем случае настройки подхватились верно.

    И пара вопросов автору:
    - в качестве CAP точки использую wAP ac, вопрос в том что на wlan 2.4GHz могу менять мощность сигнала, т.е какую установлю в настройках, такую и отображает когда CAPsman начинает работать. А на wlan 5GHz , какую бы цифру не ставил - всегда пишет что мощность 17dBi. В чем может быть проблема, если я не ошибаюсь в характеристиках заявлено 25dBi.
    - автор когда то говорил что сделает статью по тонкой настройке WiFi, можно ли рассчитывать на это в ближайшее время.

  84. Алексей

    Очень интересная статья! Но хочется уточнить несколько вопросов дабы прояснить ситуацию:
    1. Правильно ли я понимаю, что точка доступа и роутер сообщаются друг с другом не через Ethernet, а посредством Wi-Fi?
    2. Если да, то правильно ли я понимаю, что они гонят трафик туда-обратно через мост?
    3. Если и это утверждение верно, то получается, что к роутеру можно подключить только одну точку доступа? Или как-то можно объединить несколько?
    У меня есть Mikrotik hAP AC и 2 штуки wAP AC. Покупал у дилера на сайте mikrotik.ru
    Девушка-консультант с этого сайта меня уверяла, что на большом пространстве, где уже сделан ремонт и нет возможности прокинуть витую пару можно с помощью этого оборудования настроить бесшовный роуминг по Wi-Fi. Я перечитал кучу инфы по этому поводу и у меня всё больше и больше портится настроение и создаётся ощущение, что просто-напросто прорекламировали функционал, которого по факту нет. Но вот набрёл на Вашу статью и немного приободрился))

    • 1. Я делал связь всех точек и роутера по ethernet.
      2. Это вопрос реализации, не принципиально, как они гонять будут.

      Нужно немного представлять, как работает wifi. Если вы сами точки по wifi соедините, да еще клиентский трафик тоже будет по wifi ходить, то какое качество связи будет? Так можно сделать, но лучше все точки соединять по wifi.

      • Аноним

        Конечно же вы хотели сказать - "... но лучше все точки соединять по Ethernet" :-)

  85. Но возник вопрос, как же подключить принтереы по WPS???

  86. Сделал всё у себя в загородном доме. Заработало с первого раза и "на ура!", одна ремарка из трёх девайсов два были версии 6.38 и один 6.34. И вот он не хотел подключаться по САР пока его не обновил. Наслаждаюсь бесшовным вайфаем. СПАСИБО!

  87. Андрей

    Я аро это - для того чтобы пользователи «прыгали» с точки на точку, которая имеет лучше сигнал, решил сделать ограничение по порогу уровня сигнала, сделав запись в вкладке AccessList

  88. Андрей

    - а для чего же тогда контроллер нужен? Он сам должен отслеживать мощность сигнала и подключать к точке с большим уровнем сигнала!

  89. не вводите читателей в заблуждение ссылка после слов "по официальной программе MikroTik Certified Network Associate. " не ведет на официальные сертифицированные курсы. Это лишь доморощенный тренер самоучка. А слово Certified - означает сертифицированные компанией МикроТик. Чего нет.

    • Спасибо за замечание. Я исправил формулировку. У меня не было цели вводить в заблуждение, просто невнимательно сформулировал мысль.

  90. Кахабер

    Добрый день! У меня три точки доступа. Как мне их на контролере развести на разные каналы(частоты).Чтоб не сидели на одном канале.

    • Я не помню уже, сам не делал так.

    • 1. либо не указывать в конфигурации на контроллере не указывать настройку частот и сделать это на каждой точке отдельно.
      2. либо сделать для каждой точки отдельную настройку (конфигурацию).

  91. Александр

    Здравствуйте, как раз нужно сделать бесшовную сеть для организации. Возник вопрос, а сами точки каким способом подключать к "главному микротику" ? Через кабель или они должны ловиться по WiFi? У меня два этажа, я бы хотел чтоб точки подклучались по проводу.

    • Обязательно по проводу нужно подключать точки. По wifi по идее тоже можно, но там такое качество связи будет. Они же будут мешать друг другу и абонентам.

  92. Все сделал по описанию - работает. Но возникло 2 вопроса:
    1. как перезалить конфигурацию в точки доступа при изменении настроек (предположим пароля в гостевой сети) без перезагрузки контроллера?
    2. в capsman пароль к сети есть в 2 вкладках: security cfg и configurations-security - они должны совпадать или в каком-либо месте он не обязателен?
    Спасибо!

  93. Я бы рекомендовал из всех инструкций по настройке Wi-Fi убрать режим защиты WPA, оставить только WPA2.
    Вы добровольно делаете дыру в безопасности.

  94. Здравствуйте, подскажите, как задать ip адреса точкам доступа, которые подключаются к контроллеру capsman , для удаленного администрирования.

  95. добавил mangl по туториалу http://lanmarket.ua/stats/mikrotik-routeros-dva-provajdera-balansirovka-marshrutizaciya-firewall-(bez%20skriptov)

    поулчилост такие манглы https://dl.dropboxusercontent.com/u/53567643/shot003.png
    и такие роуты https://dl.dropboxusercontent.com/u/53567643/shot004.png но все равно исходящие идут через 1 WAN помогите плз

  96. добрый день , помогите разобраться , создал в капсмане2 вторую точку доступа по инструкции , начал допиливать , создал отдельный бридж , dhcp сервер для второй сети , добавил второй WAN что бы гостевые клиенты ходили через него в интернет , добавились маршруты , клиенты подключаются но все равно ходят через первый шлюз ,
    на скрине маршруты с бриджами https://dl.dropboxusercontent.com/u/53567643/shot002.png все клиенты идут в инет через ether1-gateway
    я так понимаю нужно прописать в файрволе правильный мангл , раз уж тут все подняли по 2 сети думаю сможете легко подсказать как мне быть , что бы второй бридж шел только на второй wan.
    спасибо

    • Это не самая простая задача. Я на пальцах не разъясню как одновременно использовать 2 WAN и маркировать пакеты. Надо разбираться. Я когда-то давно это настраивал, но сейчас уже подзабыл и готового рецепта нет. Возможно напишу статью на эту тему, было бы полезно зафиксировать этот момент нормальным материалом. Но пока его нет :(

  97. Все отлично написано, за маленьким нюансом, в который уперся как в стену ! :)

    > Проделаем теперь то же самое на самом mikrotik контроллере — подключим его wifi интерфейс к capsman v2.
    > Делается это абсолютно так же, как только что проделали на отдельной точке wifi.

    В других статьях в инете тоже коротенько сказано - с другими точками все просто аналогично делаем....
    Где ? Как ? по каким пунктам? Вроде все уже прошел на несколько раз.

    У меня контроллер Mikrotik RB951Ui + 2 Unifi AP
    Родной WiFi поднялся, показался в Wireless виртуальным интерфейсом. А дополнительные точки доступа Unifi - никак.
    Подключены к портам LAN4, LAN5;
    Адреса получили от DHCP, пингуются;
    Родной контроллер Unifi не может управлять -говорит, что точки используются другим контроллером. (Вроде как Mikrotik-?);

    В Wireless Tables- CAP прописал
    Discovery-Interfaces: bridge1
    CAPsMAN Adresses: 192.168.9.1
    не помогли и другие записи:
    Discovery-Interfaces: bridge1, LAN4
    CAPsMAN Adresses: 192.168.9.1, 192.168.9.10

    В CAPsMAN - Remote CAP остается своя лишь точка самого контроллера. внешние не добавляются никак.
    Ведь добавляются они только через кнопку Wireless Tables- CAP ?

    • Не понял, при чем тут точки Unifi? Это другой производитель. Capsman технология микротик. Она работает только на микротиках.

      • Понял, что Mikrotik может работать и контроллером и для Unifi.
        Ошибся ?
        Они не совместимы в такой конфигурации ?
        Странно... Интересненько- кто ж тогда мои точки Unifi контролировать взял, если собственный контроллер так говорит ? :)

  98. Хорошая статья, спасибо. Тем более как раз ко времени - сейчас есть цель построить WiFi роуминг для WMS.
    Как человек впервые сталкивающийся с этой технологией и микротиками в целом прошу ваши ответы и советы, возможно они покажутся глупыми, прошу не пинать:
    1. Контроллер - функция роутера или отдельный софт на сервер (как у юбиков)? Т.е. функционал контроллера доступен в прошивке самого роутера или нужен выделеный сервер? Если прошивка - то какой уровень лицензии нужен для настройки контроллера wifi?
    2. Если есть опыт подскажи в двух словах, чем отличаются серии роутеров "RB" от "CRS". И роутер какой серии более подходит именно для организации WiFi роуминга?
    3. Где можно увидеть, какую версию "capsman" поддерживает роутер и точка? Или это решается обновлениями софта? Допустим на nix я этого не увидел.
    Заранее спасибо.
    И с праздниками!

    • 1. Контроллер может быть настроен на любом роутере микротик. Это штатный функционал. Если это обычный сервер с установленной RouterOS, то нужна лицензия, не помню какого уровня, в оригинальном мануале это есть, я видел где-то.
      2. Эти роутеры отличаются производительностью и корпусом. Внутри одинаковая система, настройки не отличаются, кроме некоторого функционала портов. Где-то есть аппратаный свитч, где-то нет. Характеристики железок подробно описаны на сайте производителя.
      3. Зависит от версии системы. Все роутеры без проблем обновляются до последней версии и имеют весь современный функционал.

      На обычные серверы я никогда не ставил RouterOS, поэтому не подскажу по этой теме.

      • Резимируя: для организации такой CAPsMAN сети от Микротика достаточно купить любой роутер и точки в нужном количестве; остальное - дело настройки. Так?

      • Алексей

        Не так давно начал осваивать микротик и бесшовный wi-fi, у меня несколько вопросов:
        1. Не понимаю как настроить разные сети и при этом что бы они друг друга видели (т.е. одина сеть имеет диапазон 192.168.0.1/24 вторая сеть имеет диапазон 192.168.0.2/24 и третья соответственно 192.168.0.3/24 ) как их объединить что бы они общались между собой и передавали интернет с контроллера, не могу понять и соответственно настроить (когда им в быстрой настройке указываю cap и ставлю DHCP они шустро все подбирают и начинают работать, но мне так не хотелось бы)
        2. Все сделал как в статье и попытался с мобильника подключиться не к основному контроллеру а к точке для расширения зоны доступа.... телефон не нашел wi-fi хотя находился в близи от точки доступа поэтому не могу проверить работоспособность данной статьи.
        3. Мне почему то кажется что в точке доступа в параметрах CAP надо тоже выставлять параметры wi-fi безопасность каналы и т д
        4. не совсем понял что надо делать в NAT и Firewall что бы все работало гладко

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Нажимая кнопку "Отправить комментарий" Я даю согласие на обработку персональных данных.
Используешь Telegram? Подпишись на канал автора →
This is default text for notification bar