
Гвоздём нашей программы будет настройка CAPsMAN v2 на роутере MikroTik – то есть контроллера управления точками доступа. Он позволяет конфигурировать устройства из единого места, назначать каналы и их ширину, SSID, профили безопасности, централизованную блокировку устройств, аутентификация устройств на основе сертификатов, и много другое. Обновлённая версия продукта входит в стандартный пакет RouterOS с версии 6.37. Первой версии не совместима со второй. Для его работы нужен уровень лицензии 4 и выше.
Стоит отметить важный нюанс, если все ваши точки доступа, настроены на получение конфигураций от контроллера, и он по каким-либо причинам не доступен, то все AP прекратят своё вещание до тех пора, пока CAPsMAN не станет доступным.
- Схема сети
- Настройка CAPsMAN
- Channels
- Datapath
- Security
- Configurations
- Provisioning
- Включение CAPsMAN
- Настройка AP
- Бесшовный роуминг
- Настройка сертификатов
- 89 вопросов по настройке MikroTik
- Процесс подключения точки WiFi к CAPsMAN.
- CAPs Configuration — создание конфигурации.
- Добавляем правила обнаружения Provisioning.
- Включаем CAPsMAN
- Настройка контролируемой точки доступа WiFi (CAP).
- Первый hAP ac lite в роли CAPsMAN v2 и Wi-Fi AP
- Настройка идентификатора MikroTik’а
- Настройка CAPsMAN на hAP ac lite
- Таблица распределения частот 2. 4 Ghz и 5 Ghz
- Поддерживаемые частоты/каналы для выбранной страны
- Таблица распределения 2. 4 Ghz частот и каналов
- Настройка Channel для 2. 4 Ghz (20 Mhz)
- Таблица распределения 5 Ghz частот и каналов
- Настройка Channel для 5 Ghz (40 Mhz)
- Создание Configuration для 5 Ghz
- Создание Configuration для 2. 4 Ghz
- Настройка локальных Wireless интерфейсов для работы с CAPsMAN
- Настройка Wireless интерфейсов для работы с CAPsMAN
- Настройка индивидуальных частотных каналов для CAP
- Статическое распределение персональных частотных каналов (конфигураций)
- и частоту канала
- . Изменения в новых настройках интерфейсов CAP’ов мы сделали, теперь нужно присвоить новые конфигурацию CAP’ам. Заходим в закладку Remote CAP , выбираем первый CAP и нажимаем кнопку Provision . Повторяем такие же манипуляции для CAP2. В результате мы видим, что все интерфейсы привязались к своим CAP (буква B) и у каждой CAP свой канал (частота). Полный конфиг первого hAP ac lite (CAPsMAN-CAP1) со статической привязкой CAP
- и нажимаем кнопку Provision
Схема сети
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.
Настройка CAPsMAN
Подключимся на роутер RB951G и выведем действующую конфигурацию:
В General-Bridge входят ehter2-4, ether1 – смотрит в интернет (выход в интернет у нас отсутствует, т.к. для демонстрации решения он нам не понадобится), назначен IP адрес, DNS и NAT.

Все настройки будут производиться в меню CAPsMAN.
Channels
Создадим первый канал на частоте 2412, ширина в 20Mhz, стандарт G и N.

По аналогии создадим шестой и одиннадцатый каналы.

Datapath
Создадим правило, которое будет добавлять в локальный General-Bridge интерфейсы подключённых AP.


Создадим второй Datapath для гостевой сети. В нем отключим обмен данными между клиентами.

Security
Сконфигурируем профиль безопасности для защищённой сети, указав:

Настроим второй профиль, для открытой сети, без указания типов шифрования, пароля и т.д.

Configurations
На данном этапе мы создаём конфигурации. Т.к. у нас будет закрытые и открытые сети, то нам понадобятся 2 конфига. Для первого в wireless укажем:

Откроем Datapath и выберем первый.

Профиль безопасности так же нужен первый.
Создадим второй конфиг с незначительными изменениями.
Datapath и Security Profile выберем вторые.
Provisioning
Задаём параметры для Provisioning. Идентифицировать клиента мы будет по IP адресу, но можно и по имени (System — Identity), а также MAC, но можно и все вместе. Задаём действие – создать динамически и включить, укажем основной и дополнительные конфиги (их может быть до 32-ух, это ограничение RouterOS).
Action могут быть различные:

Включение CAPsMAN
Столько мучений, ради одной заветной галочки.
Настройка AP
Подключимся к микротику RB951Ui-2HnD и взглянем на его настройки. Ничего особенного. Имеем бридж и адрес на нем.

Для получения конфига, перейдём в Wireless – CAP:
Обратите внимание, что wlan1 отключён.
В качестве примера, мы добавляем и WiFi-1 и WiFi-2-Guest в общий бридж. В реальной жизни так делать, конечно, не надо. Следует разделить все по VLAN: основной сети, гостевой и management vlan.

После того как прилетят настройки, мы их увидим в описании каждого интерфейса. Но внимательный читатель заметит, что конфиг немного не тот, что указывали выше, в частности канал, согласно параметрам нам должен был прилететь 2412, а по факту 2452. Исправим это на контроллере. На вкладке CAP Interface мы видим все успешно подключённые клиентские AP. Флаг D означает – динамический.

Превратим их в статические и зададим корректные каналы. Двойным кликом открываем cap1, жмём copy.

В скопированном интерфейсе указываем корректный канал, datapath, cfg и security.

После применения, оба интерфейса пропадут и останется в нашем случае cap3. Переименуем его в понятное имя.

После сохранения снова копируем. Задаём корректное имя для WiFi-2-Guest и выбираем Master Interface

Указываем соответствующий конфиг, канал, datapath и профиль безопасности.

Список CAP интерфейсов должен быть следующий.
На клиенте теперь нужно выключить и включить CAP в Wireless. Вот теперь все в порядке.

Создадим provisioning для RB951Ui-2nD (hAP) изменив IP Address Ranges, или указав Radio MAC, в качестве эксперимента попробуем этот вариант (в реальной жизни, старайтесь соблюдать единообразие конфигов). Этот тот самый MAC, который светится в настройках конкретной карточки.

Теперь включим CAP на RB951Ui-2nD (hAP).

Снова проблемы с каналами. Проделаем такой же трюк с копированием интерфейсов, необходимо изменить частоту согласно channel6. Не забываем про профили безопасности, datapath и cfg.

После выключения/включения CAP, должны получить правильный конфиг.

У нас остался третий девайс, это сам контроллер. Да-да, он может быть так же сам для себя им.

Итого у нас есть 3 девайса, на разных каналах, на каждом по 2 AP с разным SSID. Проверим это!

Бесшовный роуминг
Интернет пестрит громкими фразами вида «настройка бесшовного wifi (роуминг) на микротик», но чудес не бывает, и это на самом деле псевдо бесшовный роуминг. Для бесшовности в прямом смысле этого слова, вам понадобится протокол 802.11R, реализация которого отсутствует на устройствах Mikrotik, его поддерживают другие более дорогие устройства. Куча манов ведут к «тонкой настройке» Access List путём принудительного выбрасывания с точки при определённом уровне сигнала. Так вот, это абсолютно бессмысленно, т.к. при выкидывании с точки вы лишаетесь того самого псевдо роуминга.
Хитрость состоит в том, что нужно грамотно расставить точки доступа. Под грамотно, я понимаю, чтобы уровень сигнала клиентского устройства был в пределах -70-75 и тогда, CAPsMAN увидит, на основе своего анализа, что у вас блин хреновый сигнал, и переключит на ближайшую точку (если она установлена правильно, если сигнал ее лучше и если она вообще есть). Переключение в ДАННОМ случае, будет начинаться со второго этапа аутентификации, а не с первого, т.е. полного, как ели бы вы сделали это выкидыванием клиентов. Это и есть дополнительная, подчёркиваю, дополнительная фича, а не крутая реализация роуминга.
Access List нужен для других целей – блокировка / разрешение доступа к точкам. В контексте CAPsMAN это работает централизованно.

Вы только посмотрите, можно запрещать или разрешать определённым MAC адресам цепляться на конкретных или всех AP.
Начал одним, а закончил другим))), надеюсь теперь все стало понятно.
Настройка сертификатов
К сожалению, первая версия имела изъяны, и без труда можно было прикинуться AP. Ситуация изменилась с появлением сертификатов и улучшенных механизмов работы. Не будем заострять внимание на генерации сертификатов, это, пожалуй, отдельная тема, тем более их можно создавать, не отходя от кассы. Но имейте в виду, что они сгенерятся на максимально возможны срок.
Открываем Manager, в Certificate и CA Certificate ставим значение auto.

После применения, роутер сгенерировал CA и сертификат для роутера. Укажем их вместо auto в выпадающем списке.

Подключаемся к Mikrotik RB951Ui-2HnD, открываем CAPsMAN в Wireless, в строке Certificate выбираем auto.

После чего, клиент отправит на контроллер запрос сертификата и получит его. Следом меняем auto на выданный сертификат из выпадающего списка. Так же рекомендую указать CAPsMAN Certificate Common Name. Ставя галочку Lock To CAPsMAN, мы жёстко привязываемся. Но если вы отзовёте сертификат контроллера, то точки перестанут работать.

Если все хорошо, то конфиг прилетит без проблем. Проделываем то же самое для остальных AP. После чего на контроллере ставим галочку Require Peer Certificate.

Теперь принудительно требуем у точек наличие сертификата.
Чтобы не городить все в один или разные бриджи, прочтите нашу статью «Настройка VLAN на микротиках» для красивого разрезания сетей на VLAN.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдёте для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
CAPsMAN — это средство централизованного управления точками доступа WiFi в оборудовании Mikrotik (контроллер точек доступа). Точки доступа, подключенные к CAPsMAN, будут получать все настройки с него.
Преимущество централизованного управления точками доступа в том, что происходит организация бесшовного WiFi. Это означает, что переключение между точками доступа с одинаковым SSID происходит незаметно для конечного пользователя.
Для организации такой схемы работы точек доступа WiFi необходимо понять следующее:
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Процесс подключения точки WiFi к CAPsMAN.
Здесь будет немного теории, описывающей процессы подключения CAP к CAPsMAN. Самые нетерпеливые могут пропустить и приступить к непосредственной настройке со следующего пункта.
Чтобы подключиться к CAPsMAN точка доступа запускает процесс обнаружения и создает список обнаруженных CAPsMAN. Обнаружение происходит с использованием:
После построения списка доступных CAPsMAN точка выбирает к кому из них подключиться на основе следующих правил:
После того как точка доступа CAP выбрала к какому контроллеру подключаться происходит процесс аутентификации. Возможны следующие варианты:
В случае использования сертификата CAP может дополнительно проверить значение CommonName в сертификате от CAPsMAN. Параметр caps-man-certificate-common-names содержит список разрешенных значений CommonName. Если список пуст, то CAP не будет проверять это поле CommonName.
В случае разрыва соединения между CAP и CAPsMAN потеря связи будет обнаружена через 10-20 секунд.
Чтобы настроить CAPsMAN Mikrotik нужно выбрать роутер, который будет использоваться в качестве контроллера, создать на нем конфигурацию для управляемых точек доступа WiFi, задать правила обнаружения точек и активировать CAPsMAN. Затем необходимо выполнить настройку управляемых точек доступа для получения конфигурации WiFi от контроллера.
Рассмотрим простейший способ настройки CAPsMAN, когда точки WiFi находятся в одной широковещательной сети (Layer 2) с контроллером и для подключения точек не используется сертификат.
Настройка CAPsMAN в роутерах Mikrotik осуществляется через соответствующую настройку в Winbox путем создания конфигурации, которая будет отправляться на подключаемые в сеть точки доступа WiFi.
На роутере, который будет выступать в качестве контроллера точек доступа WiFi, открываем меню настройки CAPsMAN.
В конфигурации, которая будет отправляться на подключенные точки доступа WiFi, необходимо настроить следующие обязательные параметры:
CAPs Configuration — создание конфигурации.
Открываем вкладку Configurations и создаем новую конфигурацию.
Указываем обязательные параметры:
Переходим на вкладку Datapath. Здесь необходимо указать Bridge через который будет передаваться сетевой трафик между CAPsMAN и CAP. В стандартной конфигурации это bridge в котором объединены локальные порты.
Если активировать параметр LocalForwarding, то трафиком точки доступа будет управлять не CAPsMAN, а сама точка.
Настройка конфигурации завершена, но стоит упомянуть способ использования шаблонов для конфигураций CAPsMAN.
Использование шаблонов настроек Channels, Datapaths, Security Cfg.
Обратите внимание в меню CAPsMAN так же есть вкладки Channel, Datapath и Security Cfg.
В этих вкладках так же можно задать все те же настройки и сохранить их в шаблон, который потом можно просто подключить в конфигурацию выбрав нужный шаблон. Например, для Channel это будет выглядеть так:
Добавляем правила обнаружения Provisioning.
В разделе CAPs Provisioning задаются правила для поиска точек доступа.
Создадим простое правило, которое будет автоматически подключать к CAPsMAN любую обнаруженную в сети точку доступа WiFi.
Radio MAC: 00:00:00:00:00:00;Action: create dynamic enabled;Master configuration: cfg1 — имя ранее созданной конфигурации;
Включаем CAPsMAN
Чтобы включить CAPsMAN нажимаем на кнопку Manager и отмечаем пункт Enabled.
Для безопасности необходимо настроить интерфейсы, на которых CAPsMAN будет слушать точки доступа WiFi. Для этого нажимаем на кнопку Interfaces.
В стандартной конфигурации создано правило для всех интерфейсов all — его необходимо запретить. Выбираем это правило и отмечаем Forbid.
Добавляем новое правило, которое указывает CAPsMAN слушать только локальные интерфейсы в bridge.
Настройка контролируемой точки доступа WiFi (CAP).
Подключаемся через Winbox к точке доступа WiFi, открываем таблицу беспроводных интерфейсов Wireless и нажимаем кнопку CAP на панели инструментов.
Для успешной работы точки доступа WiFi совместно с CAPsMAN необходимо указать следующие настройки:
На этом настройка подключения точки доступа WiFi к CAPsMAN завершена.
Проверим смогла ли подключиться CAP к контроллеру.
Открываем CAPsMAN и смотрим таблицу CAP Interface. Здесь должны появиться все подключенные WiFi точки. На моем скриншоте видно 5 подключенных CAP c двумя интерфейсами на каждую — для основного WiFi интерфейса (Master) и виртуального WiFi (Slave).
Во вкладке Registration Table можно посмотреть подключенных к точкам WiFi клиентов.

Упрощенная схема CAPsMAN сети
В данной статье я не буду глубоко погружаться в настройки Mikrotik, а акцентирую свою внимание на настройке CAPsMAN v2 и особенно на моментах которые мне были непонятны.
Статья рассчитана на начинающих пользователей, которые ещё не сталкивались с CAPsMAN. Она поможет сделать первые шаги в изучении данного продукта, понять архитектуру и принципы работы. В статье приведён один из вариантов настройки Wi-Fi сети на базе CAPsMAN, но на самом деле вариантов больше и под каждую конкретную задачу можно выбрать оптимальный вариант настройки.
MikroTik постоянно улучшает функционал CAPsMAN и с каждой новой версией ROS появляются новые возможности и настройки, так что, не удивляйтесь, если в процессе настройки CAPsMAN у вас будут отличаться параметры или появятся новые, которые не описаны в статье.
Статья постоянно обновляется и дополняется. В случае появления новых функций в CAPsMAN я вношу информацию о них в статью.
Используемое оборудование и ПО:
Важно всегда использовать актуальную версию RouterOS ветки (channel) «long term» (для критически важных объектов, где в первую очередь важна стабильность работы) или ветки «stable»!
ВНИМАНИЕ! Обновление Firmware!
После обновления RouterOS не забываем обновить и Firmware! Это очень важное замечание, т.к. если вы обновили RouterOS но не актуализировали Firmware, может быть множество непонятных глюков! Firmware, это что-то типа BIOS на компьютере, а RouterOS уже операционная система.

Нажимаем Check For Updates
, выбираем ветку с которой будем делать обновление
и нажимаем кнопку Check For Update
.
Если у вас не актуальная версия RouterOS то появится информация с изменениями в новой версии (What’s new) и кнопка Download&Install, нажмите её.
Команды в консоли
/system package update set channel=bugfix
/system package update check-for-updates
channel: bugfix
current-version: 6.40.8
latest-version: 6.40.8
status: System is already up to date
/system package update download
/system package update install

Обновление firmware Mikrotik
/system routerboard print
routerboard: yes
model: Groove A-52HPn
serial-number: 410D02BC6FB2
firmware-type: ar9340
factory-firmware: 3.07
current-firmware: 3.41
upgrade-firmware: 3.41
/system routerboard upgrade
/system reboot
Первый hAP ac lite в роли CAPsMAN v2 и Wi-Fi AP
Временно отключите Firewall
В ROS 6.44 и старше исправили ниже описанную проблему:
*) capsman — always accept connections from loopback address;
Для ROS младше 6.44:
На время настройки отключите все правила Firewall на MikroTik с CAPsMAN!
Из-за некорректной настройки Firewall (цепочка input) могут быть проблемы с подключением локального CAP к CAPsMAN.
Настройте CAPsMAN, проверите что всё работает, а дальше корректно настроите Firewall.
Проблема появляется в случае, если у вас присутствует правило запрещающее (drop) весь входящий трафик (цепочка input). Даже если у вас разрешен входящий трафик из локальной сети, этого недостаточно.
Вернитесь к этой заметке если сталнётесь с этой проблемой.
Настройка идентификатора MikroTik’а
Прописываем идентификатор MikroTik’а, что бы в дальнейшем было проще ориентироваться.

/system identity
set name=CAPsMAN-CAP1
Создаем bridge, добавляем в него интерфейсы (все кроме Wi-Fi) и присваиваем IP адрес. Wi-Fi интерфейсы сами добавятся в нужный бридж.
Акцентировать на этом внимание не буду, всё стандартно.
Во время настройки бриджа и добавления в него портов может отвалится WinBox. Просто переподключитесь.

/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/ip address
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0
Wi-Fi интерфейс и bridge
Не добавляйте в bridge Wi-Fi интерфейсы. C APsMAN, в зависимости от настроек Local Forwarding в Datapath, сам добавит или нет Wi-Fi интерфейсы в bridge.
Если вы вручную добавите Wi-Fi в bridge, могут быть проблемы и сообщения в логах:
bridge port received packet with own address as source address (4f:5e:0d:15:60:6s), probably loop
Настройка CAPsMAN на hAP ac lite
Что бы было проще ориентироваться в приведенных настройках CAPsMAN, опишу иерархию настроек.
Все настройки Wireless интерфейсов объединяются в Groups (профили настроек), Groups привязываются к Configuration, а уже Configuration ассоциируется с Provisioning.
Provisioning это правила настройки CAP’ов. Когда CAP подключается с CAPsMAN он подгружает (динамически или статически) свой Provisioning и с помощью него получает все необходимые настройки.
Configuration могут быть Master и Slave. Master это основная конфигурация, Slave дополнительная, например для гостевой сети.
Groups (профили настроек) в CAPsMAN:
Groups, Configuration и Provisioning может быть множество для разных задач.
В нашем случае, будет созданы две Master Configuration для 2.4 Ghz и 5 Ghz диапазонов и два Provisioning для CAP с двумя радиокартами 2.4 Ghz и 5 Ghz. Slave конфигурация не используется.
Подробнее: CAPsMAN Configuration Concepts

Выбираем меню CAPsMAN
, нажимаем кнопку Manager
и включаем CAPsMAN
.
Таблица распределения частот 2. 4 Ghz и 5 Ghz

Таблица распределения частот 2.4 Ghz и 5 Ghz
Поддерживаемые частоты/каналы для выбранной страны
/interface wireless info country-list
countries: no_country_set,albania,algeria,azerbaijan,argentina,australia,austria,bahamas,bahrain,bangladesh,armenia,barbados,belgium,bermuda,bolivia,bosnia and
herzegovina,brazil,belize,brunei darussalam,bulgaria,belarus,cambodia,canada,sri lanka,chile,china,taiwan,colombia,mayotte,costa rica,croatia,cyprus,czech
republic,denmark,dominican republic,ecuador,el salvador,estonia,finland,france,french guiana,france res,french polynesia,georgia,germany,greece,greenland,
grenada,guadeloupe,guam,guatemala,haiti,honduras,hong kong,hungary,iceland,india,indonesia,iran,ireland,israel,italy,japan,japan1,japan2,japan3,japan4,japan5,
kazakhstan,japan6,jordan,kenya,north korea,korea republic,korea republic2,korea republic3,kuwait,lebanon,latvia,liechtenstein,lithuania,luxembourg,macau,
malawi,malaysia,malta,martinique,mexico,monaco,montenegro,morocco,debug,oman,nepal,netherlands,netherlands antilles,aruba,new zealand,nicaragua,panama,norway,
pakistan,papua new guinea,paraguay,peru,philippines,poland,portugal,puerto rico,qatar,reunion,romania,russia,rwanda,saudi arabia,serbia,singapore,slovakia,
viet nam,slovenia,south africa,zimbabwe,spain,sweden,switzerland,syria,thailand,trinidad and tobago,united arab emirates,tunisia,turkey,uganda,ukraine,
macedonia,egypt,united kingdom,tanzania,united states,united states2,united states (public safety),uruguay,uzbekistan,venezuela,yemen,us 5.8 direct,uk 5.8
fixed,germany 5.8 fixed p-p,germany 5.8 ap,us 2.4 crossroads,norway 5.8 p-p,brazil-922,etsi 2.4 rb411uahr rb411ar,brazil direct,indonesia 5.7-5.8,moldova,us
2.4 rb951g,etsi 5.5-5.7 outdoor,etsi 2.4 5.5-5.7,us 2.4 5.8,brazil-anatel,russia2,indonesia2,united states3,etsi 5.7-5.8 srd,egypt 5.8,russia3,new zealand
5.8 fixed p-p,etsi1,indonesia3,etsi2
Поддерживаемые частоты для выбранной страны
/interface wireless info country-info russia2
ranges: 5815-6425/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/outdoor
2402-2482/b,g,gn20,gn40(20dBm)
2417-2457/g-turbo(20dBm)
5170-5250/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/passive,indoor
5250-5330/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/dfs,passive
5650-5710/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/dfs,passive
5755-5815/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/outdoor
5190-5310/a-turbo(20dBm)/dfs
5180-5300/a-turbo(20dBm)/dfs
5520-5680/a-turbo(27dBm)/dfs,passive
Таблица распределения 2. 4 Ghz частот и каналов

Wi-Fi 2.4 ГГц. Схема распределения каналов

Wi-Fi 2.4 ГГц. Таблица распределения частот
Используйте частоты разрешённые в вашем регионе!
Настройка Channel для 2. 4 Ghz (20 Mhz)

Выбираем закладку Channel
добавляем канал
.
Указываем имя группы каналов, частоту, ширину канала (20 Mhz), поддерживаемые стандарты 802.11 (b/g/n), мощность
.
Мы создали первый канал (канал 1) для первого CAP’а, теперь нам необходимо создать второй не пересекающийся канал (канал 6) для второго CAP’а.
Настраиваем его аналогичным образом.
Результат будет таким:
Автоматический выбор канала
Если вы хотите чтобы CAPsMAN сам выбирал свободный канал из заранее определённых каналов, можно сделать следующее:

В этом случае, CAPsMAN будет выбирать самый удачный в данный момент канал и менять его, если необходимо, раз в сутки.
/caps-man channel add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2462,2437,2412 name=channel_2.4Ghz reselect-interval=1d tx-power=20
Таблица распределения 5 Ghz частот и каналов

Wi-Fi 5 ГГц. Схема распределения каналов

Wi-Fi 5 ГГц. Таблица распределения частот
Старайтесь не использовать частоты с DFS.
Частоты UNII-3 на некоторых старых устройствах могут быть недоступны (были проблемы на iPAD), перед использованием тестируйте.
Настройка Channel для 5 Ghz (40 Mhz)
Настройки аналогичны настройкам для 2.4 Ghz. Добавляем канал 36 (5180 Mhz) и потом канал 44 (5220 Mhz).
Обратите внимание как устанавливается ширина канала. Эта настройка весьма не очевидна. Если нам нужно 40 Mhz, то мы в Width ставим 20, а в Extension Channel указываем куда будем расширять канал. Выше (Ce) или ниже по каналам (eC).
Если вам нужно 80 Mhz то будет Ceee или eeeC, а в Width всё те же 20 и т.д. Подробно данная тема обсуждалась на форуме MikroTik тут и тут.
Если у вас не стоит задача вручную разносить CAP’ы на непересекающиеся каналы, то можно создать только по одному Channel для 2.4 Ghz и 5 Ghz, а поле Frequency оставить пустым. Тогда CAPsMAN будет сам, автоматически, распределять между CAP’ами частотные каналы. Но я считаю, что лучше вручную распределить каналы. Выбор за вами. Ниже я опишу процесс присваивания индивидуального канала для каждого CAP’а.

/caps-man channel add band=5ghz-a/n/ac frequency=5180,5220,5745,5785 name=channel_5Ghz reselect-interval=1d save-selected=yes skip-dfs-channels=no tx-power=20
Настраиваем как будет ходить трафик от Wi-Fi клиентов.

Выбираем закладку Datapaths
, добавляем новый
, выбираем ранее созданный Bridge
и устанавливаем Local Forwarding
и Client To Client Forwarding
.
Client To Client Forwarding — разрешаем или нет Wi-Fi клиентам видеть друг-друга в рамках одного радиомодуля (радиоинтерфейса).
Local Forwarding — если включён Local Forwarding, то Wi-Fi интерфейс добавится в локальный бридж конкретной CAP и трафик от Wi-Fi клиентов подключённых к данной CAP будет терминироваться локально.

CAPsMAN: Local Forwarding: On
Если Local Forwarding выключен, то организуется туннели от CAP до CAPsMAN. Wi-Fi интерфейсы CAP’ов добавятся в бридж CAPsMAN’а и весь трафик со всех CAP’ов, через туннели, пойдёт централизованно через CAPsMAN.
В этом случае значительно вырастают требования к аппаратным ресурсам для CAPsMAN т.к. весь трафик от клиентов проходит через него, а также требуются дополнительные ресурсы на инкапсуляцию пакетов в туннели и шифрование.
Если аппаратных ресурсов не будет хватать, то будет снижение скорости у Wi-Fi клиентов и высокая загрузка процессора у CAPsMAN.
Но тут есть и плюсы. Один из них, это то, что весь трафик от Wi-Fi клиентов пойдёт через CAPsMAN и его проще контролировать, т.к. C APsMAN это единственная точка входа/выхода для всего трафика клиентов.

CAPsMAN: Local Forwarding: Off
Пример, когда выключен Local Forwarding и все CAP’ы динамически добавлены в bridge CAPsMAN’а:
Всё стандартно и понятно, останавливаться подробно не буду.
CAPsMAN log: disconnected, group key timeout
Некоторые Wi-Fi клиенты отключаются от точки доступа примерно раз в 5 минут и в этот момент в логе MikroTik появляется запись:
Необходимо увеличить параметра group-key-update (как часто, точка доступа обновляет и передаёт клиентам новый групповой ключ). Данный параметр появился с версии ROS 6.38.
Подробнее в статье: Mikrotik: disconnected, group key exchange timeout
В случае возникновения подобных проблемы установите параметр group-key-update равный одному часу.
/caps-man security set security1 group-key-update=1h

Создание Configuration для 5 Ghz

В закладке Configurations
добавляем конфигурацию
для 5 Ghz диапазона.
Задаём имя конфигурации
, режим работы Wi-Fi радио карты
, SSID
, страну
и антенны
.
В закладках Channel, Datapath и Security выбираем выше созданные Groups (профили настроек).

По умолчанию, все новые CAP’ы динамически подключенные к CAPsMAN будут использовать канал 36. В дальнейшем мы сможем задать свой собственный канал для каждой CAP.
Создание Configuration для 2. 4 Ghz
Настройки аналогичны настройкам для 5 Ghz, задаём только своё имя конфигурации
.
По умолчанию, все новые CAP’ы динамически подключенные к CAPsMAN будут использовать канал 1. В дальнейшем мы сможем задать свой собственный канал для каждой CAP. В результате мы получим две конфигурации для 2.4 и 5 Ghz диапазонов.
Возможности Provisioning весьма широкие, в данном примере показан один из простых примеров — всем CAP присваивать одинаковую конфигурацию на основе их аппаратных возможностей (используемых радиомодулей).
Но можно создавать более сложные правила Provisioning’а, например:
И так, мы создали группы с настройками для каналов (Channel), безопасности (Security), группы с правилами хождения трафика (Datapath) и объединили эти группы в конфигурации (Configuration) для двух диапазонов 2.4 Ghz и 5 Ghz.
Теперь необходимо создать правила настройки CAP’ов (Provisioning). Каким CAP’ам, какие конфигурации будут присваиваться (конфигураций может быть много с разными настройками).
Делается это с помощью Provisioning.
Для того, что бы одному устройству с двумя радиомодулями (2 ГГц и 5 ГГц) присвоить конфигурацию для двух диапазонов, нужно создать два раздельных Provisioning. Каждый провижининг привязывается к MAC адресу нужного радиомодуля (2 и 5 ГГЦ).
Создадим два Provisioning для 2.4 и 5 Ghz диапазонов.
Provisioning для MikroTik с 5Ghz радиокартами

Provisioning для MikroTik с 2.4 Ghz радиокартами

В результате мы получим следующий список Provisioning:
/caps-man manager
set enabled=yes
/caps-man channel
add band=2ghz-b/g/n extension-channel=disabled frequency=2412 name= channel_2.4G_1 tx-power=20 width=20
add band=2ghz-b/g/n extension-channel=disabled frequency=2437 name= channel_2.4G_6 tx-power=20 width=20
add band=5ghz-a/n/ac extension-channel=Ce frequency=5180 name=channel_5G_36 tx-power=20 width=20
add band=5ghz-a/n/ac extension-channel=Ce frequency=5220 name=channel_5G_44 tx-power=20 width=20
/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name= datapath1
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security1 passphrase=12345678
/caps-man configuration
add channel=channel_5G_36 country=russia datapath=datapath1 mode=ap name= cfg_5G rx-chains=0,1,2 security=security1 ssid=2keep.net tx-chains=0,1,2
add channel=channel_2.4G_1 country=russia datapath=datapath1 mode=ap name= cfg_2.4G rx-chains=0,1 security=security1 ssid=2keep.net tx-chains=0,1,2
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=an,ac master-configuration=cfg_5G
add action=create-dynamic-enabled hw-supported-modes=b,gn master-configuration=cfg_2.4G
На этом, базовые настройки CAPsMAN закончены.
Настройка локальных Wireless интерфейсов для работы с CAPsMAN
Мы настроили CAPsMAN на первом hAP ac lite, теперь настроим на нём Wireless интерфейс (локальный CAP), которая будет под контролем CAPsMAN.

/interface wireless cap
set bridge=bridge1 caps-man-addresses=127.0.0.1 enabled=yes interfaces= wlan1,wlan2
В результате мы видим, что Wireless интерфейсы wlan1 и wlan2 находятся под управлением CAPsMAN.

Полный конфиг первого hAP ac lite (CAPsMAN-CAP1)
Ошибка — «possible regulatory info mismatch with CAP»
Если появилась ошибка — «possible regulatory info mismatch with CAP» , то отключите CAP от CAPsMAN и сделайте «Reset Configuration» в «Wireless» и подключите обратно CAP к CAPsMAN.

Mikrotik: Wireless Reset Configuration
/interface wireless reset-configuration wlan1

/system identity
set name=CAP2
Как и для CAPsMAN создаем бридж.

/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/ip address
add address=192.168.88.2/24 interface=bridge1 network=192.168.88.0
Настройка Wireless интерфейсов для работы с CAPsMAN
Настройки Wireless интерфейсов для работы с CAPsMAN, точно такие же, как и для CAP1.

/interface wireless cap
set bridge=bridge1 caps-man-addresses=192.168.88.1 enabled=yes interfaces= wlan1,wlan2
Полный конфиг второго hAP ac lite (CAP2)
Настройка индивидуальных частотных каналов для CAP
Мы настроили CAPsMAN и две Wi-Fi точки доступа (CAP1 — находится на том же hAP что и CAPsMAN и CAP2 — на втором hAP’е). Если вы всё правильно настроили, то они подключились к CAPsMAN.
Открываем CAPsMAN на закладке Interfaces и видим 4 динамически (буква D
) созданных интерфейса (у нас два CAP’а и каждый с двумя радиоинтерфесами).
Описание букв в левой колонке
M — master
D — dynamic
B — bound
X — disabled
I — inactive
R — running
Wi-Fi сеть уже работает, но все CAP’ы находятся на одном канале
, а нам нужны разные.
Применить индивидуальные конфигурации для CAP (а частотный канал, это один из параметров конфигурации), можно как в статическом режиме, так и в динамическом.
Статическое распределение персональных частотных каналов (конфигураций)
Сейчас CAP’ы прописаны в CAPsMAN динамически (автоматически) и соответственно каналы прописались те, что мы указали ранее в конфигурации (groups channel).
В данный момент все CAP’ы подключены к CAPsMAN динамически (буква D) и в связи с этим на них нельзя менять параметры. Параметры можно менять только на статически привязных CAP’ах к CAPsMAN.
Открываем свойства интерфейса cap1 (он у нас на 2.4Ghz на CAP1), нажимаем Copy
и в окне параметров нового интерфейса, производим необходимые настройки. Дадим более понятное имя интерфейсу
и частоту канала
.

Теперь выбираем cap2 интерфейс (он у нас на 5Ghz на CAP1). Так же указываем имя и канал.
Повторяем такие же манипуляции для CAP2 (соответственно выбираем другие частотные каналы).
В результате видим следующее:
У каждой CAP свой канал для 2.4Ghz и для 5Ghz
, но интерфейсы неактивны (буква I)
.
Изменения в новых настройках интерфейсов CAP’ов мы сделали, теперь нужно присвоить новые конфигурацию CAP’ам.
Заходим в закладку Remote CAP
, выбираем первый CAP
и нажимаем кнопку Provision
.
Повторяем такие же манипуляции для CAP2.
В результате мы видим, что все интерфейсы привязались к своим CAP (буква B) и у каждой CAP свой канал (частота).
Полный конфиг первого hAP ac lite (CAPsMAN-CAP1) со статической привязкой CAP

