Konfiguracja CAPsMANa
W pracy administrator sieci na pewno przyjdzie taki moment kiedy Twoja infrastruktura sieciowa, a konkretniej bezprzewodowa rozrośnie się do większej skali niż kilka routerów WiFi. Staniemy wtedy przed wyborem sprzętu do zarządzania większą ilością routerów. Oczywiście możemy każdy z routerów konfigurować niezależnie, ale czy jest sens tracić na to czas? Na ratunek przychodzi CAPsMAN, narzędzie stworzone przez Mikrotika do centralnego zarządzania access pointami.
Od czego zacząć?
1. Przede wszystkim sprawdzamy wersje RouterOS zainstalowaną na kontrolerze oraz na capch. Najlepiej, aby była taka sama.
2. Sprawdzamy czy paczka wireless jest zainstalowana i aktywna.
3. Głównym kontrolerem jest RB951, natomiast jako capy hAP-AC Lite oraz hAP AC oba pracują w trybie dual band, dlatego czeka nas trochę więcej konfiguracji.
Konfiguracja CAPsMANa – Ustawienia Kontrolera
Najwięcej czasu poświęcimy na przygotowanie konfiguracji kontrolera. Dodatkowo naszą sieć podzieli na sieć dla pracowników(biuro) i dla gości. Zaczniemy od przygotowania bridge’a do którego będą podłączone wszystkie capy. W moim przypadku konfiguracja wygląda tak, iż do ehter3 jest podłączony switch, a do switcha pozostałe access pointy, także w bridge znajdował będzie się tylko jeden port.
Konfiguracja Bridge, adresacja, dhcp dla zarządzania routerami
Przechodzimy do zakładki Bridge i niebieskim plusem tworzymy nowy interfejs. W polu Name: podajemy dowolną nazwę interfejsu, np. caps_mgmt.
Następnie przechodzimy na zakładkę IP->Adressess i znakiem plusa dodajemy nowy adres. Uzupełniamy pola:
- Address: 192.168.33.1/24
- Interface: z listy rozwijanej wybieramy wcześniej utworzonego bridge’a caps_mgmt
Teraz dodajemy port Ether3 do bridge’a. Wracam na zakładkę Bridge przechodzimy na Ports i dodajemy port.
Możemy wszystkim access pointom(cap) nadawać ręcznie adresacje z sieci 192.168.33.0, ale możemy też ułatwić sobie życie i przygotować serwer dhcp, który będzie robił to za nas. Także przechodzimy na zakładkę IP->DHCP Server i klikamy w kreator DHCP Setup. Ważne jest, aby jako interfejs serwera dhcp wybrać caps_mgmt resztę parametrów klikamy na dalej.
Konfiguracja Bridge, adresacja, dhcp dla Biura
Konfiguracja jest zbliżona do ustawień dla zarządzania, z tą różnicą, iż nie będziemy dodawać portów do bridge’a. Kontroler zrobi to za nas.
1. Zaczynamy od ustawienia Bridge’a
2. Przypisujemy adresacje
- Address: 192.168.55.1/24
- Interface: wybieramy z listy caps_wifi
Konfiguracja Bridge, adresacja, dhcp dla sieci Gość
1. Przygotowanie Bridge z nazwą
2. Nadanie adresacji dla interfejsu caps_gosc
Konfiguracja CAPsMANA – Ustawienie kanałów
Ponieważ są tylko trzy kanały w częstotliwości 2,4GHz, które się nie zakłócą, warto jest zdefiniować wcześniej. Dodatkowo nasze hAPy pracują w dual band, czyli wspierają także 5GHz. Przygotujemy konfigurację kanałów Wifi.
Z menu wybieramy CAPsMAN i zakładka channel. Dodajmy nowy kanał.
- Name: nazwa dowolna
- Frequency: wpisujemy częstotliwość kanału
- Control Channel Width: szerokość kanału. Zobacz Film jeżeli nie wiesz co wybrać
- Band: standard na jakim kanał ma pracować
Pozostałe kanały definiujemy analogicznie, zmieniając częstotliwość. UWAGA warto zapamiętać, iż kanały 5GHz dzielimy na outdoor i indoor, rozważnie dobierajcie kanały.
Konfiguracja CAPsMANA – Datapaths
Przy konfiguracji datapaths musimy zwrócić uwagę na dwie rzeczy. Możemy wybrać czy kontrola danych jest po stronie kontrolera czy po stronie access pointa(capa). Bardziej szczegółowe ustawienia przybliżę w kolejnych materiałach. Na razie ustawiamy:
- Name: Biuro, ponieważ będziemy tworzyć osobne ustawiania dla biura i dla gości
- Bridge: wybieramy interfejs przeznaczony dla biura, czyli caps_wifi
- Client To Client Forwarding: zaznaczamy jeżeli chcemy, aby urządzenia widziały się między sobą
Podobnie ustawiamy datapaths dla gości zmieniając:
- Name: Gość
- Bridge: wybieramy interfejs przeznaczony dla gości, czyli caps_gosc
- Client To Client Forwarding: odznaczamy
Konfiguracja CAPsMANA – Security Cfg.
W tym miejscu definiujemy konfigurację zabezpieczeń dla capów, zbliżona do Security Profile w zakładce Wireless.
- Name: dowolna nazwa
- Auth Type: wybieramy WPA2 PSK
- Encryption: wybieramy aes com
- Passphrase: hasło do WiFi
W tym przypadku tworzymy tylko jeden konfig ponieważ sieć gość zostawiamy otwartą(zostanie zabezpieczona w inny sposób).
Konfiguracja CAPsMANA – Configurations.
Wszystkie wcześniejsze konfiguracje dodaje do jeden główne. Tak jak wspominałem wcześniej hAP pracują w dual band, dlatego musimy stworzyć 4 konfiguracje.
- Biuro-2G
- Biuro-5G
- Gosc-2G
- Gosc-5G
Niebieskim znakiem plusa dodajemy nową konfigurację i zakładce Wireless uzupełniamy:
- Name: Biuro-2G
- Mode: ap
- SSID: nazwa sieci wifi
- Distance: wybieramy indoor
- Country: Poland
- HT Tx/Rx Chain: zaznaczamy wszystkie 6 wartości
Zakładkę Channel na razie pomijamy i przechodzimy do Datapaths, gdzie dla biura wybieramy biuro a dla Gości gosc.
W zakładce Security wybieramy biuro, ponieważ właśnie taka nazwę zdefiniowaliśmy wcześniej w Security Cfg.
Bardzo podobnie tworzymy konfigurację dla sieci 5GHz, zmieniamy tylko nazwę SSID.
W przypadku konfiguracji dla gości, musimy pamiętać, o zmianie datapaths na gosc
Konfiguracja CAPsMANA – Provisioning
W tym miejscu definiujemy jakie urządzenia mogą się podłączyć do Capsmana oraz jak mają się zachować po podłączeniu. W tej części poradnika przyjmujemy wariat, że wszystkie access pointy mogą się podłączyć i automatycznie zostaną włączone i aktywowane.
- Radio MAC: zostawiamy same zera
- Action: z listy wybieramy create dynamic enabled
- Master COnfiguration: Biuro-2G
- Slave Configuration: Biuro-5G
- Name Format: identity
Konfiguracja CAPsMANA – CAP Interface
Klikamy w zakładkę Manager i zaznaczamy Enabled
Konfiguracja CAP’ów – Access Pointów
Dzięki wyłączeniu opcji local forwarding cała konfiguracja ustawień wireless została po stronie kontrolera. Nasz praca na CAPie została ograniczona tylko do podłączenia się do Capsmana. Klikamy na zakładkę Wireless następnie na CAP i ustawiamy:
- Enabled zaznaczamy
- Interfaces: wybieramy, które wlan mają pracować pod kontrola Capsmana
- Certificate: zmieniamy na request, w następnych częściach omówię dlaczego.
- Discovery Interfaces: wskazujemy interfejs, którym jesteśmy podpięci do caps_mgmt z kontrolera
- CM Addresses: ewentualnie możemy podać adres IP kontrolera
Po stronie CAPów, to byłoby na tyle, teraz wracamy ponownie do ustawień Capsmana. Powinny pojawić się dynamicznie utworzone interfejsy z nazwą identity, taką jaką mamy w Capach pod zakładką System->Identity. Urządzenia już działają, my jednak chcemy je trochę bardziej skonfigurować, a mianowicie dodać sieć dla biura na 2G, 5G, sieć dla Gości oraz wybrać na jakich kanałach dane urządzenie ma pracować. Klikamy dwa razy w Cap Interface i wciskamy copy
Z zakładki Wireless wybieramy konfigurację:
Następnie wybieramy konfigurację z kanałem WiFi:
Kroki te musimy powtórzyć dla każdego z interfejsów.
Polecany router
Podsumowanie
Jest to pierwsza część poradnika odnośnie konfiguracji Capsmana. Przygotowałem podstawową konfigurację, w dalszych częściach dowiesz się co to Access Listy, jak przesyłąć vlany, local forwarding i wiele innych. Zapraszam także do zapoznania się z materiałem video.
Polecany sprzęt
Z własnego doświadczenia mogę wam polecić poniższy sprzęt, z podziałem na ewentualne przeznaczenie routera.
Do domu i małej firmy(SOHO): hAP AC Lite , hAP AC, RB4011, RB260GS, RB2011
LTE: SXT LTE kit, SXT LTE6 kit, LHG 5, LHG LTE kit
Extender/Repeater: mAP lite, mAP
POE: hEX PoE
LAB: hEX lite
Średnia/Duża firma: CCR1036-12G-4S
[su_youtube url=”https://www.youtube.com/watch?v=qQPR0JRqJLY”]
Świetnie opisane. Czekam na na następne poradniki. Używam w domu 2 routery mikrotika i przymierzam się do włączenia CAPSMANa.
W channel niepotrzebnie robisz kilka częstotliwości. Możesz przecież do jednego wpisu dodać kilka częstotliwości. Lepszy Provision niż ręcznie ustawianie.
Bardzo dobry artykuł. Mam jeden problem sieć gościa i biuro pracują na jednym kanale za nic maja ustawienia. Wiesz może co mogłoby być przyczyną?
Wirtualny interfejs zawsze będzie na tym samym kanale co master.
Witam
Zainspirowany Pana tutorialami zabrałem się za zbudowanie takiej konfiguracji. Mój problem to możliwe połączenie tylko z ssidem który jest slavem.
Poproszę o trochę więcej szczegółów, może uda mi się jakoś pomóc.
Witam,
Czy udało się rozwiązać problem Pana Macieja? Mam dokładnie taki sam problem. Możliwe jest podłączenie tylko do sieci które są uruchomione na interfejsach virtualnych czyli gosc2g i gosc5g.
Jak wygląda mac address slave interface? powinien mieć same zera.
Slave utworzyłem przez „copy” z mastera więc dostał jego MAC. Teraz mam same zera i wygląda na to, że problem jest rozwiązany. Mam połączenie, dostaję adres.
Dziękuję za pomoc.
Witam czy można do wymuszania przełączania się między access point-ami użyć funkcji mesh w mikrotiku w konfiguracji z capsmanem?
Tak, funkcja mesh będzie odpowiednia. Ewentualnie Access Listy z poziomem dozwolonego sygnału.
Wszystko robię zgodnie z poradnikiem. Jednak staje na etapie zalogowania się do CAP. Podaje IP CAP-a które utworzyłem, login admin i nic. Jak podam dane logowania do mojego routera to wchodzi, ale wtedy jestem w obu oknach zalogowany do routera tylko na innych IP. Dlaczego wchodząc w CAPA podajesz IP z końcówką 3, skoro brama ma końcówke 1.
Posiadam Router RBwAPR-2nD&R11e-LTE oraz CAP-a RbcAPGi-5acD2nD
Udało się. Jednak sa to teraz różne sieci. Jak zrobić aby sięć rozgłaszana przez CAP-a rozsiewała tą samą pulę IP co router i działały wszystkie przekierowania i ustawienia?
Czy CapsMan dobrze przełącza sieci w przypadku zmiany mocy sygnału.
Np. zmieniam piętro sygnał spada do -60dBm a inny AP ma tam sygnał -30dBm.
Oczywiście – kilkanaście urządzeń ustawionych na obiekcie z poprawnie wpisanymi parametrami w interface/ wirelles/ access list (signal range – accept) pozwala na zapanowanie nad przełączaniem się klientów.
Siemka
Przylacze sie do poprzednikow: doskonale poradniki, dzieki Ci za nie stokrotne, naprawde kawal solidnej roboty 🙂 Po pięciu dniach, kilkukrotnym obejrzeniu materiałów o CAPsMANie, VLANach i VLAN Filteringu oto nareszcie sukces 😀 siec domowa z wydzieloną goscinna przy uzyciu VLANow, na dwoch Mietkach RB951Ui-2HnD (jeden robi jednoczesnie za router dostepowy, switch, CAPsMANa jak i za CAPa, drugi to tylko switch + CAP) – śmiga jak zła xD
Ale do rzeczy: sprawdzilem, ze to co odpisales Krzyskowi to prawda. Ergo: nie ma najmniejszego sensu wybierac gdziekolwiek w konfiguracji kanalu dla virtual CAPów. Czemu wiec w materiale prezentujesz taka mozliwosc? Li tylko w celach dydaktycznych, by pokazac ze istnieje, mimo ze nie ma sensu? Czy moze raczej jest jakis sposob na wykorzystanie tej funkcjonalnosci?
IMHO praca master i virtual int na tym samym kanale w obrebie CAPa ma sens – to ten drugi CAP powinien miec inny kanal, by ewentualny obszar pokryty sygnalami z obu CAPów wolny byl od wzajemnych zakłóceń. Zgodzisz sie z taką logiką?
Dzięki, dobrze wiedzieć, że materiały się przydają. W materiale pokazuje, że jest taka możliwość, ale bardzie właśnie w celach dydaktycznych. Powinna być taka opcja zablokowana i z góry wybrany kanał mastera, ale niestety tak nie jest.
Witam,
Jestem raczkującym w temacie Mika. Posiadam hAP ac2 jako router dostępowy i rozgłoszeniowy sieć WiFi. Czy dokłądając do tego mAP będę mógł zrobić CAPsMana, gdie hAP AC2 pozostanie routerem dostępowym sygnału od providera, będzie sam pełnił rolę kontrolera Capsman, jego radio będize Capem i mAP będzie drugim Capem ? Tzn czy hAP AC2 moze dalej rozgłaszać będąc Capsmanem i Capem jednocześnie ?
Tak, hap ac2 może zarówno być capsmanem i capem.
Witam.
To takie jeszcze pytanie. Czy mogę zrobić jedna konfigurację w której będę miał jeden ssid powiedzmy o nazwie mojasiec gdzie będzie działał cap 2 zakresowy i drugi 1 zakresowy? Nie chcę mieć osobnej ssid dla 5ghz z hap ac2 i drugiej dla 2.4 GHz tworzonej przez hap ac2 i mAP.
Możesz to rozbić na master i slave configuration.
Mam taką dziwną sytuację że kiedy ustawiam:
1. channel 1, channel 6 to mam wszystkie ap na jednym kanale
2. w jednej definicji master i secondary to dostaję komunikat not supported channel.
Kiedy tylko ustawię channel 1 to drugi dostanie inne kanały i jest OK.
Dziwna sytuacja mogło by być ale nie mam kontroli nad innymi po za pierwszym kanałem.
Możesz pokazać konfigurację? Nie tworzysz virtualnego interfejsu przypadkiem?
Tak tworzę wirtualne interfejsy, to jest podstawa mojego setupu (Dom, IoT, Gosc) ale wydaje mi się że bez jest podobnie . Włączone local forwarding. Soft 6.46.6.
Wirtualny interfejs będzie zawsze na tym samym kanale co master.
Tak to wiem, ale mam 3x RB piętro, parter i ogród z 3 sidami (2x wirtualny) capsman sam mi dobiera częstotliwości dla pozostałych dwóch. Tylko channel 1 mogę ustawić żeby działało tak jak wyżej napisałem.
Poczytałem i wszyscy zalecają żeby z kanałami zdać się na „auto” Capsmana podobnie jak robi to kontroler unifi. Wygląda na to że ustawianie kanałów na sztywno nie ma znaczenia bo Capsman i tak musi je dostosować do warunków otoczenia.
Witaj,
Fajny artykuł, jednak jestem w trakcie konfiguracji i brakuje mi przy powiększeniu wielu obrazków i nie widać co i jak masz skonfigurowane. Czy jest szansa na ich uzupełnienie?
Tak, przygotowuje nowy dość szeroki opis Capsmana.
Świetny poradnik, dziękuję. Czy planujesz jakiś artykuł z konfiguracji mikrotika pod hotspota i generowaniem voucherów?
Tak, jestem w trakcie przygotowania nowego materiału o Capsmanie.
Jak został skonfigurowany cap? Skąd takie itp, jak ustawić?
Pozdrawiam, dobry poradnik
Przydatny artykuł ale powiedz mi dlaczego CAP nie ma dostępu do internetu?
Nie leci ping poza router, nie synchronizuje NTP z zewnętrznych serwerów (z routera po zainstalowaniu paczki ntp działa), nie jest w stanie sprawdzić aktualizacji. Po podłączeniu się do sieci które rozgłasza CAP klient ma dostęp do neta ale sam CAP – nie.
Cap powinien zostać dodany do Bridge, może problem jest z maskaradą na capsmanie? Żaden CAP nie ma Internetu?
Cap automatycznie powinien wpaść do bridge’a. Maskara powinna być ustawiona na src.address
Dodanie maskarady dla sieci 192.168.33.0 naprawiło problem (nie znalazłem tego w tutorialu). Tylko czy ta sieć powinna mieć dostęp do neta jako sieć administracyjna?
Na razie robię tak, że jak chcę zrobić aktualizację CAPa to włączam maskaradę, a po aktualizacji ją wyłączam. Nie wiem czy tak to powinno wyglądać.
Jak włączyć WPSa
Witam Ponawiam pytanie od aldi
aldii
Udało się. Jednak sa to teraz różne sieci. Jak zrobić aby sięć rozgłaszana przez CAP-a rozsiewała tą samą pulę IP co router i działały wszystkie przekierowania i ustawienia?
Poprawne ustawienie bridge, to na nim jest adresacja i dhcp, może być wspólny dla wszystkich urządzeń. Polecam mój nowy film o capsmanie https://youtu.be/15A8UsMC2Zo myśle, że może wyjaśnić trochę rzeczy
Ja mam problem z caps manem na RB110AHx4 + 2x caP ac w wersji 4.46.3 z WIFI 5GHz tj. nie ważne co i jak bym ustawił (a korzystałem z wielu tutoriali konfiguracji w tym dwóch Pana Grzegorza) to transfery sięgają tylko 50/Mbps w obie strony gdzie na 2.4 potrafią się rozpędzić do 120/Mbps Down i 200/Mbps Up a powinny na takim caPie spokojnie dobić do 500 Mbps.
Takie transfery, to wifi musi działać na dwóch kanałach, albo ac w 5G. Sprawdź na jakich parametrach podłączają się użytkownicy.
Dzięki za poradnik!
Mam jedno pytanie. W konfiguracji jest router, który jest CAPem oraz dwa dodatkowe CAPy – RBcAPGi-5ACD2nD. Router oraz jeden CAP połączyły się na 2,4 oraz 5GHz (jeden SSID). Natomiast jeden ma tylko połączone radio na 2,4. Dlaczego nie chce się spiąć do 5GHz?
https://imgur.com/a/gaa9cAg
Tak jakby nie wspierał częstotliwość. Włącz w logach opcje debug i jeszcze raz podłącz Capa do Capsmana, będzie więcej informacji.
Czy mogę master dać 5 G , a slave 2,4
Radio MAC: zostawiamy same zera
Action: z listy wybieramy create dynamic enabled
Master COnfiguration: Biuro-2G
Slave Configuration: Biuro-5G
Niee, ta sama częstotliwość i taki sam kanał musi być dla mastera i slave.
Cześć,
dzięki działa to super, ale mam mały problem, ponieważ jak się połączy już z którymś AP to na siłę trzyma z nim połączenie, a nie przełączy się do AP przy którym akurat stoję. Czy da się tak ustalić, że rozłącza się ze słabszym, a łączy się z mocniejszym.
Dziękuję.
Tak, możesz to zrobić za pomocą Access List. Zobacz https://grzegorzkowalik.com/konfiguracja-capsmana-w-oparciu-o-access-list/
Dziękuję.