Для примера настрою CAPsMAN v2 на MikroTik PowerBox Pro с точками доступа MikroTik cAP ac (RBcAPGi-5acD2nD), вместо PowerBox Pro можно использовать например MikroTik hEX PoE (RB960PGS), они имеют 4 POE Out порта, на один POE порт можно подключить 2 точки доступа, рекомендуемая длина кабеля до 80м, итого POE может запитать 8 точек доступа, только нужно более мощный блок питания чем в комплекте, например помню в инструкции PowerBox Pro написано что при 24V 1А на POE порт, при 48V 0.5А, по этому нужно блок питания 24V 6A или 8А. Если будет не достаточно тока для точек доступа, то они будут перезагружаться когда например CPU будет больше нагружен. Благодаря CAPsMAN, изменяя конфигурацию беспроводных интерфейсов на основном устройстве, например пароль, частоты и т.д., они изменяются на всех точках доступа автоматически.
Начну с простого, настроим точки доступа, подключимся через Winbox, сразу откроем меню System – Reset Configuration — отметим только «CAPs Mode» и нажмем Reset Configuration. После этого будут сброшены все настройки, создан bridge, на нем включен DHCP Client, все интерфейсы добавлены в этот bridge, для беспроводных интерфейсов указано Manager: capsman, логин admin без пароля или с паролем который написан на стикере под устройством.
На каждой точке доступа я обновил прошивку, нажал System — Packages, выбрал Channel: upgrade, например обновил текущую 6.49.10 до 7.12.1, потом после обновления еще раз открыл System — Packages, но уже с Channel: stable, обновил с 7.12.1 до 7.16.1., потом обновил загрузчик устройства, открыл System – RouterBoard – Upgrade, после этого выполнил перезагрузку System — Reboot. Прошивку также нужно обновить на главном устройстве с CAPsMAN.
На всех точках доступа открыл System — Identity, и изменил имена, например cAP_ac1, cAP_ac2. Потом изменил пароль в System — Password. В IP — Services в целях безопасности отключил неиспользуемые сервисы, такие как api, api-ssl, ftp, telnet. В Files создал резервную копию текущей конфигурации, на случай если кто-то сбросит настройки. Все точки доступа получат IP адрес от основного устройства с CAPsMAN, потом при желании к ним можно будет пробросить порты и изменять настройки, по умолчанию в фаерволе точек доступа нет никаких правил, по этому не нужно открывать на них порты. Если понадобится сбросить настройки на MikroTik cAP ac, то это делается отключением питания, нажатием кнопки reset, включением питания и через 5 секунд отпусканием кнопку reset.
Смотрите также мою статью: Проброс портов на Mikrotik
Теперь настрою CAPsMAN на основном устройстве, откроем меню
Wireless — CAPsMAN — Security Cfg. + Add New
Authentication Type: WPA2 PSK
Encryption: aes ccm
Passphrase: …
Wireless — CAPsMAN — Channels + Add New
Name: 2GHz-N
Control Channel Width: 20Mhz
Band: 2ghz-onlyn
Name: 5GHz-N-AC
Control Channel Width: 20Mhz
Band: 5ghz-n/ac
Extension Channel: XXXX (disable — 20Mhz; XX, eC, Ce — 40Mhz; XXXX, eeeC, eeCe, eCee, Ceee — 80Mhz)
Wireless — CAPsMAN — Datapath + Add New
Name: datapath1
Bridge: bridge
Local Forwarding: + (трафик ходит через локальный бридж точки доступа, а не через бридж CAPsMAN)
Client To Client Forwarding: + (разрешение L2 трафика между клиентами)
Wireless — CAPsMAN — Configurations + Add New
Name: cfg-2GHz-N
Mode: ap
SSID: ixnfo.com_2GHz
Channel: 2GHz-N
Band: 2ghz-onlyn
Datapath: datapath1
Security: sec1
Name: cfg-5GHz-N-AC
Mode: ap
SSID: ixnfo.com_5GHz
Channel: 5GHz-N-AC
Band: 5ghz-n/ac
Datapath: datapath1
Security: sec1
Wireless — CAPsMAN — Cap Interface — Manager — Enabled
Wireless — CAPsMAN — Cap Interface — Manager — Interfaces — Add New
Interface: ether1 (который для WAN)
Forbid+
Provisioning + Add New
Radio MAC: 00:00:00:00:00:00
Hw. Supported Modes: gn
Action: create dynamic enabled
Master Configuration: cfg-2GHz-N
Name Format: prefix identity
Name Prefix: 2GHz
Radio MAC: 00:00:00:00:00:00
Hw. Supported Modes: ac
Action: create dynamic enabled
Master Configuration: cfg-5GHz-N-AC
Name Format: prefix identity
Name Prefix: 5GHz
Provisioning позволяет автоматически создавать CAP интерфейсы, по этому вручную как показано ниже их добавлять не нужно, на этом настройка завершена.
Wireless — CAPsMAN — Cap Interface + Add New
Name: cap2
Configuration: cfg-2GHz-N
Mode: ap
Channel: 2GHz-N
Datapath: datapath1
Security: sec1
Name: cap5
Configuration: cfg-5GHz-N-AC
Mode: ap
Channel: 2GHz-N-AC
Datapath: datapath1
Security: sec1
После изменений конфигурации 5Ghz, эти частоты начинают работать примерно через пол минуты из-за того что точка доступа сканирует занятость частоты радаром и выбирает не занятые частоты.
Также для примера выложу часть конфигурации которая получилась:
[admin@RouterOS_PowerBoxPro] > export
# model = RB960PGS-PB
/caps-man channel
add band=2ghz-onlyn control-channel-width=20mhz name=2GHz-N
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XX name=5GHz-N-AC
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=yes name=datapath1
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=security1
/caps-man configuration
add channel=2GHz-N channel.band=2ghz-onlyn datapath=datapath1 mode=ap name=cfg-2GHz-N security=security1 ssid=AP_2.4Ghz
add channel=5GHz-N-AC channel.band=5ghz-n/ac datapath=datapath1 mode=ap name=cfg-5GHz-N-AC security=security1 ssid=AP_5Ghz
/caps-man interface
add channel=2GHz-N configuration=cfg-2GHz-N configuration.mode=ap datapath=datapath1 disabled=no l2mtu=1600 mac-address=18:FD:74:63:87:8A master-interface=none name=cap2 radio-mac=18:FD:74:63:87:8A radio-name=18FD7463878A security=security1
add channel=5GHz-N-AC configuration=cfg-5GHz-N-AC configuration.mode=ap datapath=datapath1 disabled=no l2mtu=1600 mac-address=18:FD:74:63:87:8B master-interface=none name=cap5 radio-mac=18:FD:74:63:87:8B radio-name=18FD7463878B security=security1
/ip dhcp-server
add address-pool=default-dhcp interface=bridge lease-time=10m name=defconf
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg-2GHz-N name-format=prefix-identity name-prefix=2GHz
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg-5GHz-N-AC name-format=prefix-identity name-prefix=5GHz
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan type=A
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input dst-port=80 protocol=tcp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=netmap chain=dstnat dst-port=81 in-interface=ether1 protocol=tcp to-addresses=192.168.88.251 to-ports=80
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system identity
set name=RouterOS_PowerBoxPro_ixnfo.com