Mikrotik capsman предложил изолированную сеть Wi-Fi и создание сети HotSpot на Mikrotik. Настройка CAPsMAN, удаленная настройка точек доступа Wi-Fi

Настройка точек доступа в режиме CAP

Настройка параметров на точках доступа производится достаточно просто. Заходим в раздел Wireless и нажимаем кнопку CAP (управляемая точка доступа). В появившемся окне необходимо установить опцию Enabled. При необходимости, можно указать адрес конкретного контроллера – параметр CAPsMAN Adress.

Эту операцию необходимо провести на всех точках доступа, которые вы желаете подключить к менеджеру.

Заранее в QuickSet точки доступа можно выбрать режим работы CAP, который автоматически сменится на Ethernet.

Проверяем работу роуминга

Подключитесь смартфоном или планшетом к Wi-Fi сети  на 2,4ГГц или  на 5ГГц.

В настройках  откройте меню  и перейдите на вкладку . Здесь видно, что наш планшет подключился к интерфейсу  на 5ГГц.

Чтобы понять, какому устройству принадлежит интерфейс , перейдите на вкладку  и посмотрите. Здесь видно, что  принадлежит роутеру .

Далее возьмите планшет и перейдите с ним к Wi-Fi точке. Произойдет автоматическое переключение, и на вкладке  название интерфейса поменяется на  – это интерфейс точки доступа .

Если роутер и точка доступа находятся рядом, то переключение может не произойти. Нужно, чтобы они были достаточно удалены друг от друга. На открытом пространстве без преград расстояние между точками лучше делать около 35 метров, чтобы они не глушили друг друга. При наличии стен расстояние можно уменьшить.

На этом настройка роуминга MikroTik завершена. Далее мы рассмотрим частные способы расширенной настройки.

Ограничиваем скорость в гостевой Wi-Fi сети

Чтобы гости не заняли весь канал интернета, и сотрудникам организации было комфортно работать, необходимо настроить ограничения скорости для каждого клиента гостевой сети.

Допустим у нас есть входной интернет канал 100 Мбит/с. Для внутренней сети кафе достаточно минимальной скорости 20 Мбит/с. Остальные 80 Мбит/с мы выделим для гостевой сети. Каждому гостю сделаем ограничение скорости в 2 Мбит/с.

Перед настройкой необходимо убедиться, что на роутере в фаерволе отключен fasttrack. Эта технология появилась начиная с RouterOS 6.29 и позволяет увеличить производительность путем пересылки данных без их дополнительной обработки. Однако если она включена, то ограничения скорости не сработают. Обычно это проявляется так: скорость загрузки не срабатывает, а скорость отдачи работает. Поэтому fasttrack необходимо отключить, либо применить для подсети, в которой не будут действовать ограничения скорости.

1. Откройте меню IP – Firewall.
2. На вкладке  выберите правило .
3. Нажмите красный крестик Disable, чтобы деактивировать правило.

Но мы не будем его деактивировать, а применим для внутренней сети администрации 192.168.88.0/24, в которой не будут действовать ограничения.

1. Сделайте двойной щелчок по правилу, чтобы открыть его настройки.
2. В поле  укажите сеть 
3. Нажмите кнопку.

Теперь приступаем к настройке ограничений скорости для гостевой подсети 192.168.1.0/24.

Добавим pcq очередь на загрузку с ограничением 2 Мбит/с.

1. Откройте меню .
2. Перейдите на вкладку .
3. Нажмите синий плюсик.
4. В поле  укажите название очереди на загрузку .
5. В списке  выберите .
6. В поле  укажите ограничение скорости на загрузку  (2 Мбит/с).
7. Проверьте, что напротив  стоит галочка.
8. Нажмите кнопку .

Добавим pcq очередь на отдачу с ограничением 2 Мбит/с.

1. Нажмите синий плюсик.
2. В поле  укажите название очереди на загрузку .
3. В списке  выберите .
4. В поле  укажите ограничение скорости на отдачу  (2 Мбит/с).
5. Поставьте галочку напротив .
6. Уберите галочку напротив .
7. Нажмите кнопку .

Теперь добавим правило с ограничениями скоростей.

1. Перейдите на вкладку .
2. Нажмите синий плюсик.
3. В поле  укажите название правила .
4. В поле  укажите нашу открытую подсеть 
5. В поле  в колонке  укажите максимальную скорость отдачи  (80 Мбит/с), которую мы выделяем на всю открытую подсеть.
6. В поле  в колонке  укажите максимальную скорость загрузки  (80 Мбит/с), которую мы выделяем на всю открытую подсеть.
7. Перейдите на вкладку .
8. В списке  в колонке  выберите .
9. В списке  в колонке  выберите .
10. Нажмите кнопку .

Теперь подключитесь к открытой Wi-Fi сети  или , и проверьте скорость.

Добавляем Wi-Fi интерфейсы роутера в контроллер

Наш роутер имеет встроенный Wi-Fi, поэтому его беспроводные интерфейсы необходимо добавить в контроллер CAPsMAN.

1. Откройте меню Wireless, и на вкладке Interfaces нажмите кнопку CAP.

   

2. Поставьте галочку Enabled.
3. В поле Interfaces выберите wlan1 на 2,4ГГц. Чтобы добавить второй интерфейс, нажмите маленький черный треугольник по направлению вниз. Появится еще одно поле для выбора интерфейса, в котором укажите wlan2 на 5ГГц.
4. В списке Discovery Interfaces выберите бридж интерфейс.
5. Нажмите OK.

В поле CAPsMAN Addresses мы не указываем IP адрес контроллера, поскольку наш роутер и Wi-Fi точка физически находятся в одном сегменте сети и найдут контроллер по MAC адресу. Т.е. они будут работать на уровне Layer 2.

Если ваши устройства физически находятся в разных сегментах сети, то указывайте IP адрес контроллера и ничего не указывайте в поле Discovery Interfaces. Ваши устройства будут работать на уровне Layer 3.

После этого произойдет автоматическая настройка и запуск интерфейсов wlan1 на 2,4ГГц и wlan2 на 5ГГц.

В меню CAPsMAN на вкладке Interfaces автоматически создадутся два новых интерфейса cap1 и cap2.

Запрещаем клиентам гостевой сети доступ к сети администрации

Запретим клиентам доступ из одной сети в другую.

1. Откройте меню IP — Routes.
2. Перейдите на вкладку Rules.
3. Нажмите синий плюсик.
4. В поле Src. Address введите подсеть 192.168.88.0/24
5. В поле Dst. Address введите открытую подсеть 192.168.1.0/24
6. В списке Action выберите drop.
7. Нажмите OK.

Этим правилом мы запретили доступ из гостевой подсети 192.168.1.0/24 в административную подсеть 192.168.88.0/24.

Теперь добавим еще одно правило, чтобы запретить доступ из административной подсети 192.168.88.0/24 в гостевую подсеть 192.168.1.0/24, т.е наоборот.

1. Нажмите синий плюсик.
2. В поле Src. Address введите подсеть 192.168.1.0/24
3. В поле Dst. Address введите открытую подсеть 192.168.88.0/24
4. В списке Action выберите drop.
5. Нажмите OK.

Добавляем Wi-Fi точку в контроллер

Зайдите через программу Winbox в настройки Wi-Fi точки в меню Quick Set, выберите режим CAP и согласитесь с изменениями. После этого режим CAP автоматически поменяется на Ethernet — это нормально.

Если программа Winbox не находит вашу Wi-Fi точку, тогда подключитесь ноутбуком или смартфоном к устройству по Wi-Fi. После этого введите в браузере адрес 192.168.88.1, и вы попадете в Web-интерфейс настройки точки доступа. Откройте меню Quick Set, выберите режим CAP и нажмите кнопку Apply Configuration. После этого Winbox должен увидеть устройство, и можно приступать к настройке.

Перед настройкой проверьте, что у точки доступа в меню System — Packages активирован пакет wireless-cm2 и версия RouterOS совпадает с версией, установленной на роутере.

Добавляем правила Firewall в точке доступа

В последних прошивках в конфигурации по умолчанию Firewall блокирует трафик CAPsMAN. Поэтому нужно добавить в Firewall правила, которые разрешат прохождение трафика CAPsMAN.

Откройте в точке доступа меню New Terminal и выполните следующие команды:

Приступаем к настройке Wi-Fi интерфейсов:

1. Откройте меню Wireless, и на вкладке Interfaces нажмите кнопку CAP.

   

2. В появившемся окне поставьте галочку Enabled.
3. В поле Interfaces выберите wlan1 на 2,4ГГц. Чтобы добавить второй интерфейс, нажмите маленький черный треугольник по направлению вниз. Появится еще одно поле для выбора интерфейса, в котором укажите wlan2 на 5ГГц.
4. В списке Discovery Interfaces выберите бридж интерфейс.
5. Нажмите OK.

После этого Wi-Fi точка автоматически получит настройки и запустит интерфейсы wlan1 на 2,4ГГц и wlan2 на 5ГГц.

Теперь откройте настройки роутера, и перейдите в меню CAPsMAN на вкладку Interfaces. Здесь автоматически создались еще два новых интерфейса точки доступа cap3 и cap4.

Добавляем Wi-Fi интерфейсы роутера в контроллер

Наш роутер имеет встроенный Wi-Fi, поэтому его беспроводные интерфейсы необходимо добавить в контроллер CAPsMAN.

1. Откройте меню  и на вкладке  нажмите кнопку .
2. Поставьте галочку .
3. В поле  выберите  на 2,4ГГц. Чтобы добавить второй интерфейс, нажмите маленький черный треугольник по направлению вниз. Появится еще одно поле для выбора интерфейса, в котором укажите  на 5ГГц.
4. В списке  выберите бридж интерфейс.
5. Нажмите .

В поле CAPsMAN Addresses мы не указываем IP адрес контроллера, поскольку наш роутер и Wi-Fi точка физически находятся в одном сегменте сети и найдут контроллер по MAC адресу. Т.е. они будут работать на уровне Layer 2.

Если ваши устройства физически находятся в разных сегментах сети, то указывайте IP адрес контроллера и ничего не указывайте в поле Discovery Interfaces. Ваши устройства будут работать на уровне Layer 3.

После этого произойдет автоматическая настройка и запуск интерфейсов wlan1 на 2,4ГГц и wlan2 на 5ГГц.

В меню  на вкладке  автоматически создадутся два новых интерфейса  и .

Настройка LAN-WiFi

В разделе Bridge необходимо создать мост с именем bridge_lan и добавить в него 3 и 4 сетевые порты.

Необходимо создать VLAN, чтобы объединить все сети с локальной.

В меню Interface на вкладке VLAN создаём новый VLAN с номером 10 на сетевом интерфейсе bridge_lan , назначаем ему имя vlan_10_hotspot .

Создаём ещё один VLAN с номером 11 на сетевом интерфейсе bridge_lan , назначаем ему имя vlan_11_work .

Настройка NAT

Чтобы гости получали доступ к интернету по Wi-Fi, необходимо настроить NAT. Откройте меню New Terminal для ввода команд.

Настройка NAT выполняется следующими командами:

ip firewall nat add chain=srcnat out-interface=интерфейс провайдера action=masquerade

, где интерфейс провайдера — это интерфейс, на который приходит интернет от провайдера, например ether1. Для PPPoE соединений указывается название PPPoE интерфейса. Настройки NAT достаточно, чтобы заработал интернет.

В завершение

По завершению настройки можно проверить работу сети, используя любое устройство с беспроводным модулем.

Обе сети отображаются корректно и доступны для подключения. Поскольку обе точки доступа имеют одинаковый SSID и канал, для клиентов они отображаются как одна сеть. И только специализированное программное обеспечение выделяет разные точки доступа.

Настройка гостевой Wi-Fi сети

Если вы предоставляете в кафе или гостинице бесплатный доступ к Wi-Fi для гостей, то вам может потребоваться в целях безопасности разделить сеть организации и гостевую сеть. Иначе гости смогут получить доступ к вашим серверам, рабочим компьютерам или принтерам. Далее мы расскажем, как создать отдельную гостевую Wi-Fi сеть, изолировать ее, и ограничить скорость для посетителей.

Первым делом создадим бридж интерфейс, который будет использоваться для Wi-Fi сети с бесплатным доступом к интернету.

1. В настройках роутера откройте меню .
2. Перейдите на вкладку  и нажмите синий плюсик.
3. В поле  введите имя интерфейса .
4. Нажмите кнопку .

Настроим IP адресацию новой сети. Она должна отличаться от адресации основной сети. По умолчанию сеть роутера MikroTik имеет IP адреса 192.168.88.1 – 192.168.88.254. Поэтому мы решили создать новую сеть с адресным пространством 192.168.1.1 – 192.168.1.254.

1. Откройте меню IP – Addreses.
2. Нажмите синий плюсик.
3. В поле  введите IP адрес бридж интерфейса и маску 
4. В поле  введите адрес сети 
5. В списке  выберите бридж интерфейс .
6. Нажмите .

Настраиваем DHCP Server, который будет автоматически назначать IP адреса клиентам.

1. Откройте меню IP – DHCP Server.
2. На вкладке  нажмите кнопку .

В появившемся окне выберите интерфейс  и нажмите кнопку .

Ничего не меняем, жмем .

Теперь необходимо настроить CAPsMAN, чтобы он создал на устройствах виртуальные Wi-Fi интерфейсы.

Откройте меню  перейдите на вкладку  и нажмите синий плюсик.

Здесь мы указываем параметры безопасности сети. Поскольку наша сеть будет без пароля, достаточно указать имя профиля безопасности и нажать кнопку .

Перейдите на вкладку  и нажмите синий плюсик. Укажите имя  и выберите бридж интерфейс . Нажмите кнопку . Параметр  мы не указываем, чтобы гостевые устройства не общались друг с другом в сети.

Перейдите на вкладку  и нажмите синий плюсик, чтобы создать новую конфигурацию открытой сети.

Сначала создадим конфигурацию для частоты 2,4ГГц.

1. На вкладке  укажите название конфигурации .
2. В списке  выберите режим работы  – точка доступа.
3. В поле  укажите название бесплатной Wi-Fi точки, например, .
4. Поставьте все галочки напротив HT Tx Chains и HT Rx Chains.

Перейдите на вкладку  и в списке  выберите наш канал на 2,4ГГц под названием .

Перейдите на вкладку  и выберите .

Перейдите на вкладку , укажите наш профиль безопасности  и нажмите кнопку .

По аналогии добавьте новую конфигурацию для частоты 5ГГц. Если ваши устройства не поддерживают 5ГГц, то пропустите этот шаг.

В итоге список всех конфигураций выглядит так.

Теперь добавим созданные конфигурации  и  в параметры развертывания Provisioning. Перейдите на вкладку  и откройте настройки развертывания для частоты 2,4Ггц.

В списке укажите конфигурацию  и нажмите кнопку .

Теперь откройте настройки развертывания для частоты 5Ггц. В списке укажите конфигурацию  и нажмите кнопку .

Далее необходимо обновить настройки наших точек. Перейдите на вкладку , выделите все устройства с помощью клавиши Shift на клавиатуре, и нажмите кнопку .

Теперь откройте меню  и на вкладке  вы увидите, что на роутере под основными Wi-Fi интерфейсами создались виртуальные интерфейсы, которые будут использоваться для подключения к открытой сети без пароля. Такие же интерфейсы создались и на нашей точке Wap.

В меню  на вкладке  также видно новые виртуальные интерфейсы. Они находятся под основными.

2 сети в capsman на примере гостевой wifi

Рассмотрим для примера одну распространенную ситуацию, которую можно реализовать с помощью технологии capsman. У нас настроена бесшовная сеть wifi с авторизацией по паролю. Нам нужно на эти же точки доступа добавить еще одну гостевую сеть для открытого доступа. В одиночном mikrotik это делается с помощью Virtual AP. Сделаем то же самое в capsman.

Для этого нужно добавить новую настройку безопасности. Идем в Security Cfg. и создаем настройку для доступа без пароля. Называем ее open.

Создаем еще одну конфигурацию, в которой все остальные настройки оставляем те же самые, только меняем SSID и настройку безопасности.

Идем на вкладку Provisioning, открываем ранее созданную конфигурацию и добавляем туда в параметре Slave Configuration нашу вторую конфигурацию, которую мы только что сделали.

Сохраняем изменения. Тут я подождал несколько секунд, новая настройка не распространилась на точки. Я не стал ждать, зашел на каждую точку и переподключил ее к контроллеру. Возможно этого не нужно было делать, а надо было подождать. Не знаю, сделал как есть. Новая настройка распространилась и в каждой точке доступа появилась новая сеть типа Virtual AP с открытой wifi сетью.

На контроллере при этом добавились еще 2 виртуальных интерфейса, по одному на каждую новую сеть.

Проверил на всякий случай работу — все в порядке. Подключает клиентов одновременно к обоим сетям и позволяет работать.

Я для примера работы Virtual AP в capsman рассмотрел текущую ситуацию. Здесь клиентов гостевой сети подключает в тот же бридж и адресное пространство, что и пользователей закрытой сети. По хорошему нужно сделать дополнительные настройки:

1. Создать на контроллере для открытой сети отдельный bridge, назначить ему свою подсеть и адрес в ней, добавить в этот бридж второй wlan интерфейс, который появится после подключения к capsman с двумя конфигурациями.
2. Настроить в этой подсети отдельный dhcp сервер с раздачей адресов только из этой подсети.
3. В настройках capsman в datapath создать отдельную конфигурацию для открытой сети. В ней указать новый bridge и не выбирать параметр local forwarding.
4. В конфигурации для открытой сети выбрать новый datapath.

После этого всех подключенных к открытой wifi сети будет отправлять в отдельный бридж, где будет свой dhcp сервер и адресное пространство, отличное от основной сети. Не забудьте в dhcp проверить настройки шлюза и dns сервера, которые вы будете передавать клиентам.

Запрещаем клиентам гостевой сети доступ к сети администрации

Запретим клиентам доступ из одной сети в другую.

1. Откройте меню IP – Routes.
2. Перейдите на вкладку .
3. Нажмите синий плюсик.
4. В поле  введите подсеть 
5. В поле  введите открытую подсеть 
6. В списке  выберите .
7. Нажмите .

Этим правилом мы запретили доступ из гостевой подсети  в административную подсеть .

Теперь добавим еще одно правило, чтобы запретить доступ из административной подсети  в гостевую подсеть , т.е наоборот.

1. Нажмите синий плюсик.
2. В поле  введите подсеть 
3. В поле  введите открытую подсеть
4. В списке  выберите .
5. Нажмите .

Настройка DHCP сервера

Выполним настройку DHCP сервера MikroTik, чтобы пользователи, которые будут подключаться к виртуальной Wi-Fi точке, получали автоматически сетевые настройки:

1. Слева открываем меню IP;
2. Выбираем DHCP Server;
3. Жмем кнопку DHCP Setup;

   

4. В выпадающем списке DHCP Server Interface выбираем виртуальный Wi-Fi интерфейс wlan2;
5. Нажимаем кнопку Next;

   

6. Здесь указываем IP адрес виртуальной Wi-Fi сети и нажимаем кнопку Next;

   

7. В этом окне прописывают адрес шлюза. Нажимаем кнопку Next;

   

8. Вводим диапазон IP адресов, которые клиентам будет присваивать DHCP сервер. Жмем кнопку Next;

   

9. Далее указываются адреса DNS серверов. Нажимаем кнопку Next;

   

10. В этом окне прописывают время резервирования IP адресов. Нажимаем кнопку Next;

    

11. Следующее окно говорит о том, что DHCP сервер успешно настроек. Нажимаем кнопку OK.

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

• Главная
• Настройка контроллера CAPsMAN (бесшовный Wi-Fi роуминг) на Mikrotik

Настройка сети

Для работы в качестве DNS сервера необходимо установить галочку ✔ Allow Remote Requests в разделе настроек IP/DNS . Так же можно в меню IP/DHCP Server на вкладке Networks указать DNS сервер провайдера и альтернативный 8.8.8.8.

Для того чтобы компьютеры получали доступ в интернет, необходимо настроить Firewall и NAT на роутере MikroTik.

Проверяем работу роуминга

Подключитесь смартфоном или планшетом к Wi-Fi сети mikrotik2 на 2,4ГГц или mikrotik5 на 5ГГц.

В настройках роутера откройте меню CAPsMAN и перейдите на вкладку Registration Table. Здесь видно, что наш планшет подключился к интерфейсу cap2 на 5ГГц.

Чтобы понять, какому устройству принадлежит интерфейс cap2, перейдите на вкладку Radio и посмотрите. Здесь видно, что cap2 принадлежит роутеру router.

Далее возьмите планшет и перейдите с ним к Wi-Fi точке. Произойдет автоматическое переключение, и на вкладке Registration Table название интерфейса поменяется на сap4 — это интерфейс точки доступа ap1.

Если роутер и точка доступа находятся рядом, то переключение может не произойти. Нужно, чтобы они были достаточно удалены друг от друга. На открытом пространстве без преград расстояние между точками лучше делать около 35 метров, чтобы они не глушили друг друга. При наличии стен расстояние можно уменьшить.

На этом настройка роуминга MikroTik завершена. Далее мы рассмотрим частные способы расширенной настройки.

CAPsMAN с двумя SSID — гостевая и рабочая сеть

Внимание! Данная инструкция разработана для MikrotikOS v6.40
На других версиях может работать некорректно.

Рассмотрим случай, когда на микротике нужно настроить CAPsMAN с двумя сетями: рабочей и гостевой.
Для начала нужно настроить два бриджа на микротике с гостевой и рабочей сетью.
За основу возьмём инструкцию по настройке хотспота на микротике

Для будущего удобства рекомендуем заменить часть стандартного конфига:

на следующие строки:

Это нужно для того, чтобы рабочая сеть была настроена на отдельный inet-bridge, а не просто на отдельный порт в микротике.

После настройки у Вас получится полноценный хотспот с гостевой и рабочей сетью в разных бриджах (hs-bridge и inet-bridge).

Теперь настроим CAPsMAN.

Краткая инструкция

В терминал главного микротика вставляем следующий конфиг, не забыв заменить пароль рабочей сети с 12345678 на Ваш пароль.

В дополнительные роутеры и точки вставьте следующий конфиг:

Подробная инструкция

Если вы хотите настроить вручную каждый пункт, то воспользуйтесь инструкцией ниже.

Настройка главного микротика:

в меню Bridge создадим новый бридж bridgeCAP
name=bridgeCAP

1) Включим CAPsMan.

В меню выбираем CAPsMan-CAP Interface-Manager
Ставим галочку enabled=yes и нажимаем ОК

2) Добавим channel.

band=2ghz-b/g/n
frequency=2457
name=hs-channel1
tx-power=20
control-channel-width=20

3) Добавим datapath для hs-bridge.

bridge=hs-bridge
name=hs-datapath1
client-to-client-forwarding=yes

4) Добавим datapath для inet-bridge.

bridge=inet-bridge
name=inet-datapath1
client-to-client-forwarding=yes

5) Добавим security профиль для рабочей сети.

authentication-types=wpa2-psk
encryption=aes-ccm
group-encryption=aes-ccm
name=inet-security
passphrase=12345678

6)Добавим конфигурацию для гостевой сети.

channel=hs-channel1
datapath=hs-datapath1
mode=ap
name=hs-cfg1
rx-chains=0,1,2
tx-chains=0,1,2
ssid=CAPs-free

7)Добавим конфигурацию для рабочей сети.

channel=hs-channel1
datapath=inet-datapath1
mode=ap
name=inet-cfg1
rx-chains=0,1,2
tx-chains=0,1,2
ssid=CAPs-work
security=inet-security

8) Настроим provisioning.

action=create-dynamic-enabled
master-configuration=inet-cfg1
slave-configuration=hs-cfg1

9) Активируем CAPsMAN на Wlan интерфейсах.
enabled=yes
interfaces=wlan1
discovery-interface=bridgeCAP
bridge=none

Настройка дополнительных точек и роутеров:

1) Создадим бридж.

2) Добавим все Lan интерфейсы в него.

3) Настроим DHCP Client.

dhcp-options=hostname,clientid
disabled=no
interface=hs-bridge

5) Активируем CAPsMAN.

discovery-interfaces=hs-bridge
enabled=yes
interfaces=wlan1

Настройка завершена — можно приступать к работе.

Назначение IP адреса виртуальной Wi-Fi сети

Назначим IP адрес виртуальной Wi-Fi сети MikroTik:

1. Нажимаем слева меню IP;
2. Выбираем Addresses;
3. Нажимаем кнопку Add (красный крестик);

   

4. В поле Address указываем адрес и маску виртуальной Wi-Fi сети, например 192.168.2.1/24;
5. В списке Interface: выбираем виртуальный интерфейс Wi-Fi сети wlan2;
6. Нажимаем кнопку OK.

Ограничиваем скорость в гостевой Wi-Fi сети

Чтобы гости не заняли весь канал интернета, и сотрудникам организации было комфортно работать, необходимо настроить ограничения скорости для каждого клиента гостевой сети.

Допустим у нас есть входной интернет канал 100 Мбит/с. Для внутренней сети кафе достаточно минимальной скорости 20 Мбит/с. Остальные 80 Мбит/с мы выделим для гостевой сети. Каждому гостю сделаем ограничение скорости в 2 Мбит/с.

Перед настройкой необходимо убедиться, что на роутере в фаерволе отключен fasttrack. Эта технология появилась начиная с RouterOS 6.29 и позволяет увеличить производительность путем пересылки данных без их дополнительной обработки. Однако если она включена, то ограничения скорости не сработают. Обычно это проявляется так: скорость загрузки не срабатывает, а скорость отдачи работает. Поэтому fasttrack необходимо отключить, либо применить для подсети, в которой не будут действовать ограничения скорости.

1. Откройте меню IP — Firewall.
2. На вкладке Filter Rules выберите правило fasttrack connection.
3. Нажмите красный крестик Disable, чтобы деактивировать правило.

Но мы не будем его деактивировать, а применим для внутренней сети администрации 192.168.88.0/24, в которой не будут действовать ограничения.

1. Сделайте двойной щелчок по правилу, чтобы открыть его настройки.
2. В поле Src. Address укажите сеть 192.168.88.0/24
3. Нажмите кнопку OK.

Теперь приступаем к настройке ограничений скорости для гостевой подсети 192.168.1.0/24.

Добавим pcq очередь на загрузку с ограничением 2 Мбит/с.

1. Откройте меню Queues.
2. Перейдите на вкладку Queue Types.
3. Нажмите синий плюсик.
4. В поле Type Name укажите название очереди на загрузку pcq-download-2M.
5. В списке Kind выберите pcq.
6. В поле Rate укажите ограничение скорости на загрузку 2M (2 Мбит/с).
7. Проверьте, что напротив Dst. Address стоит галочка.
8. Нажмите кнопку OK.

Добавим pcq очередь на отдачу с ограничением 2 Мбит/с.

1. Нажмите синий плюсик.
2. В поле Type Name укажите название очереди на загрузку pcq-upload-2M.
3. В списке Kind выберите pcq.
4. В поле Rate укажите ограничение скорости на отдачу 2M (2 Мбит/с).
5. Поставьте галочку напротив Src. Address.
6. Уберите галочку напротив Dst. Address.
7. Нажмите кнопку OK.

Теперь добавим правило с ограничениями скоростей.

1. Перейдите на вкладку Simple Queues.
2. Нажмите синий плюсик.
3. В поле Name укажите название правила queue-free-limit-2M.
4. В поле Target укажите нашу открытую подсеть 192.168.1.0/24
5. В поле Max Limit в колонке Target Upload укажите максимальную скорость отдачи 80M (80 Мбит/с), которую мы выделяем на всю открытую подсеть.
6. В поле Max Limit в колонке Target Download укажите максимальную скорость загрузки 80M (80 Мбит/с), которую мы выделяем на всю открытую подсеть.
7. Перейдите на вкладку Advanced.
8. В списке Queue Type в колонке Target Upload выберите pcq-upload-2M.
9. В списке Queue Type в колонке Target Download выберите pcq-download-2M.
10. Нажмите кнопку OK.

Теперь подключитесь к открытой Wi-Fi сети mikrotik2free или mikrotik5free, и проверьте скорость с помощью сайта www.speedtest.net или аналогичного мобильного приложения.

Настройка контроллера MikroTik CAPsMAN

Сначала активируем CAPsMAN:

1. Откройте меню CAPsMAN и перейдите на вкладку Interfaces.
2. Нажмите кнопку Manager.
3. В появившемся окне поставьте галочку Enable.
4. Нажмите кнопку OK.

Выполняем настройку Wi-Fi канала:

1. Перейдите на вкладку Channels.
2. Нажмите синий плюсик.
3. В появившемся окне в поле Name укажите название канала. Я назвал его channel2, поскольку он будет для частоты 2,4ГГц. Для частоты 5ГГц я буду использовать название channel5.
4. В поле Frequency укажите частоту, на которой будет работать Wi-Fi точка. К сожалению, нет выпадающего списка с частотами и частоту нужно прописать вручную. Через меню Wireless — вкладка Interfaces — откройте настройки необходимого интерфейса, например, wlan1 — перейдите на вкладку Wireless и в выпадающем списке Frequency посмотрите частоты. Если не указать частоту, то она будет выбираться автоматически. Мы указали частоту 2412 Mhz.
5. В поле Width можете указать ширину канала 20Mhz. Ширина 40Mhz и 80Mhz пока не поддерживается. Мы оставили это поле пустым.
6. В поле Band укажите стандарты, в которых будет работать Wi-Fi точка. Для большей совместимости ставим стандарты b/g/n.
7. В поле Extension Channel указывается, в какую сторону от указанной частоты будет распределяться наш канал. Мы оставили это поле пустым.
8. В поле Tx Power укажите выходную мощность Wi-Fi, например, 20 dBi (100 мВт). Оставлять это поле пустым не желательно, поскольку в этом случае устройства будут работать на максимальной мощности, а это нужно далеко не всегда.
9. Нажмите кнопку OK.

У нас двухдиапазонные устройства, поэтому аналогичным образом настраиваем Wi-Fi канал для частоты 5ГГц. Если ваши устройства поддерживают только 2,4ГГц, то пропустите данный шаг.

В итоге получаем два канала: channel2 и channel5.

Настраиваем пароль для подключения к Wi-Fi сети:

1. Перейдите на вкладку Security Cfg.
2. Нажмите синий плюсик.
3. В появившемся окне в поле Name укажите название профиля. Мы оставили без изменения security1.
4. В поле Autentification Type укажите типа авторизации WPA2 PSK.
5. В Encryption выберите алгоритм aes ccm.
6. В списке Group Encryption выберите алгоритм aes ccm.
7. В поле Passphrase введите пароль для подключения к Wi-Fi точке.
8. Нажмите кнопку OK.

Настраиваем режим обработки данных Datapaths:

1. Перейдите на вкладку Datapaths
2. Нажмите синий плюсик.
3. В поле Name оставляем имя без изменения datapath1.
4. В списке Bridge выберите бридж интерфейс.
5. В поле Local Forwarding ничего не указываем, чтобы наша система работала в режиме Manager Forwarding Mode. Пару слов об этих режимах.
   В режиме Local Forwarding Mode обработка и перенаправление данных клиентов осуществляется непосредственно на Wi-Fi точках доступа, а не на роутере.
   В режиме Manager Forwarding Mode все данные клиентов передаются на роутер, где производится их обработка. В этом случае CAPsMAN полностью контролирует перенаправление данных, включая обмен данными между клиентами. Мне этот режим больше понравился, но он создает больше нагрузку на сеть и роутер.
6. Поставьте галочку Client To Client Forwarding, чтобы разрешить клиентам обмениваться данными друг с другом.
7. Нажмите OK.

Создаем новую конфигурацию для частоты 2,4ГГц.

1. Перейдите на вкладку Configurations.
2. Нажмите синий плюсик.
3. В появившемся окне на вкладке Wireless в поле Name укажите название конфигурации cfg2.
4. В списке Mode выберите режим работы ap — точка доступа.
5. В поле SSID укажите название Wi-Fi точки, например, mikrotik2.
6. Поставьте все галочки напротив HT Tx Chains и HT Rx Chains.

Перейдите на вкладку Channel и в списке Channel выберите наш канал на 2,4ГГц под названием channel2.

Перейдите на вкладку Datapath и выберите datapath1.

Перейдите на вкладку Security, укажите наш профиль безопасности security1 и нажмите кнопку OK.

По аналогии создайте новую конфигурацию для частоты 5ГГц. Если ваши устройства не поддерживают 5ГГц, то пропустите этот шаг.

В итоге получаем две конфигурации для 2,4 и 5ГГц.

Теперь необходимо настроить параметры развертывания Provisioning для частоты 2,4ГГц.

1. Откройте вкладку Provisioning.
2. Нажмите синий плюсик.
3. В списке Hw. Supported Modes выберите стандарты gn. Это означает, что указанная конфигурация будет применяться для устройств с поддержкой g и n стандартов, т.е. работающих на частоте 2,4ГГц.
4. В списке Action выберите create dynamic enabled, чтобы в контроллере CAPsMAN автоматически создавались интерфейсы подключаемых точек.
5. В списке Master Configuration выберите конфигурацию для 2,4ГГц, т.е. cfg2.
6. Нажмите OK.

Добавьте второе правило развертывания для частоты 5ГГц.

1. Нажмите синий плюсик.
2. В списке Hw. Supported Modes выберите стандарты an. Это означает, что указанная конфигурация будет применяться для устройств поддерживающих a и n стандарты, т.е. работающих на 5ГГц.
3. В списке Action выберите create enabled.
4. В списке Master Configuration выберите конфигурацию для 5ГГц, т.е. cfg5.
5. Нажмите OK.

Настройка пароля для подключения к Wi-Fi точке

Установим пароль, который будет использоваться для подключения к виртуальной Wi-Fi точке:

1. В окне Wireless Tables выбираем вкладку Security Profiles и нажимаем кнопку Add (красный крестик);
2. На вкладке General в поле Name: вводим название профиля безопасности, например wifi2;
3. В поле WPA Pre-Shared Key: вводим пароль. Это пароль для подключения к Wi-Fi точке доступа с использованием шифрования WPA;
4. В поле WPA2 Pre-Shared Key: вводим аналогичный пароль. Это пароль для подключения к Wi-Fi точке доступа с использованием шифрования WPA2;
5. Нажимаем кнопку OK;

   

6. Переходим на вкладку Interfaces и делаем двойной щелчок мыши на виртуальном интерфейсе;

   

7. Переходим на вкладку Wireless;
8. В списке Security Profile: выбираем имя профиля безопасности, в котором мы настраивали пароль для доступа к виртуальной Wi-Fi точке;
9. Нажимаем кнопку OK.

Проверяем работу роуминга

Подключитесь смартфоном или планшетом к Wi-Fi сети mikrotik2 на 2,4ГГц или mikrotik5 на 5ГГц.

В настройках роутера откройте меню CAPsMAN и перейдите на вкладку Registration Table. Здесь видно, что наш планшет подключился к интерфейсу cap2 на 5ГГц.

Чтобы понять, какому устройству принадлежит интерфейс cap2, перейдите на вкладку Radio и посмотрите. Здесь видно, что cap2 принадлежит роутеру router.

Далее возьмите планшет и перейдите с ним к Wi-Fi точке. Произойдет автоматическое переключение, и на вкладке Registration Table название интерфейса поменяется на сap4 — это интерфейс точки доступа ap1.

Если роутер и точка доступа находятся рядом, то переключение может не произойти. Нужно, чтобы они были достаточно удалены друг от друга. На открытом пространстве без преград расстояние между точками лучше делать около 35 метров, чтобы они не глушили друг друга. При наличии стен расстояние можно уменьшить.

На этом настройка роуминга MikroTik завершена. Далее мы рассмотрим частные способы расширенной настройки.

Настройка сбрасывания клиентов с плохим уровнем сигнала

Бывают ситуации, когда клиентское устройство подключается к одной Wi-Fi точке и никак не хочет переключаться на другую, даже если стоять возле нее. В этом случае можно настроить принудительное сбрасывание клиента с точки в зависимости от уровня сигнала. Однако при таком сбросе, если вы разговариваете по Skype или Viber, произойдет завершение звонка и нужно будет перезвонить. Я этой настройкой не пользуюсь, поскольку мне не нравятся такие обрывы связи. Но если вам это необходимо, то приступайте к настройке.

1. В настройках роутера откройте меню CAPsMAN и перейдите на вкладку Access List.
2. Нажмите синий плюсик.
3. Укажите уровень, при котором сбрасывать клиента с Wi-Fi точки. На картинке видно, что клиент с уровнем сигнала —85 dBm и хуже (-120 dBm), будет сбрасываться с точки. Обратите внимание, что необходимый уровень сбрасывания прописывается справа! Поиграйтесь с уровнями от -75 до -85 (т.е. -120..-75, -120..-80, -120..-85), чтобы выбрать оптимальный для вас.
4. В списке Action выберите reject.
5. Нажмите кнопку OK.

Настройка HotSpot

Настройка hotspot выполняется в меню IP — Hotspot — Hotspot Setup. В пошаговой настройке hotspot необходимо указать:

В случае успешной настройки, система выдаст сообщение о завершении настройки, и в списке серверов появится hotspot1 .

Далее идёт процесс настройки сервера hotspot!

Имеется возможность заменить стандартную форму авторизации на необходимую вам, предварительно необходимо загрузить файлы в память устройства и указать путь к веб-интерфейсу HotSpot, параметр HTML directory в меню IP/Hotspot/Server Profiles

Сохранение паролей на Android

Для того чтобы сохранить ваш пароль авторизации в HotSpot, необходимо включить функцию сохранения паролей в настройках вашего мобильного браузера.

Добавляем Wi-Fi интерфейсы роутера в контроллер

Наш роутер имеет встроенный Wi-Fi, поэтому его беспроводные интерфейсы необходимо добавить в контроллер CAPsMAN.

1. Откройте меню Wireless, и на вкладке Interfaces нажмите кнопку CAP.
2. Поставьте галочку Enabled.
3. В поле Interfaces выберите wlan1 на 2,4ГГц. Чтобы добавить второй интерфейс, нажмите маленький черный треугольник по направлению вниз. Появится еще одно поле для выбора интерфейса, в котором укажите wlan2 на 5ГГц.
4. В списке Discovery Interfaces выберите бридж интерфейс.
5. Нажмите OK.

В поле CAPsMAN Addresses мы не указываем IP адрес контроллера, поскольку наш роутер и Wi-Fi точка физически находятся в одном сегменте сети и найдут контроллер по MAC адресу. Т.е. они будут работать на уровне Layer 2.

Если ваши устройства физически находятся в разных сегментах сети, то указывайте IP адрес контроллера и ничего не указывайте в поле Discovery Interfaces. Ваши устройства будут работать на уровне Layer 3.

После этого произойдет автоматическая настройка и запуск интерфейсов wlan1 на 2,4ГГц и wlan2 на 5ГГц.

В меню CAPsMAN на вкладке Interfaces автоматически создадутся два новых интерфейса cap1 и cap2.

Изоляция гостевой подсети

Чтобы гости не смогли попасть в соседнюю подсеть офиса, нужно изолировать гостевую подсеть с помощью правила фаервола. Для этого выполните в терминале следующую команду:

ip firewall filter add chain=forward src-address=192.168.2.0/24 dst-address=192.168.0.0/16 action=drop

, где 192.168.2.0/24 — это адрес гостевой подсети.

192.168.0.0/16 — это адреса подсетей класса С.

После этого не забудьте в меню IP — Firewall — Filter Rules перетащить добавленное правило вверх выше запрещающих.

Добавляем Wi-Fi точку в контроллер

Зайдите через программу Winbox в настройки Wi-Fi точки в меню  выберите режим и согласитесь с изменениями. После этого режим  автоматически поменяется на  – это нормально.

Если программа Winbox не находит вашу Wi-Fi точку, тогда подключитесь ноутбуком или смартфоном к устройству по Wi-Fi. После этого введите в браузере адрес  и вы попадете в Web-интерфейс настройки точки доступа. Откройте меню  выберите режим и нажмите кнопку . После этого Winbox должен увидеть устройство, и можно приступать к настройке.

Перед настройкой проверьте, что у точки доступа в меню System – Packages активирован пакет  и версия RouterOS совпадает с версией, установленной на роутере.

Приступаем к настройке.

1. Откройте меню , и на вкладке  нажмите кнопку .
2. В появившемся окне поставьте галочку .
3. В поле  выберите  на 2,4ГГц. Чтобы добавить второй интерфейс, нажмите маленький черный треугольник по направлению вниз. Появится еще одно поле для выбора интерфейса, в котором укажите на 5ГГц.
4. В списке  выберите бридж интерфейс.
5. Нажмите .

После этого Wi-Fi точка автоматически получит настройки и запустит интерфейсы wlan1 на 2,4ГГц и wlan2 на 5ГГц.

Теперь откройте настройки , и перейдите в меню  на вкладку . Здесь автоматически создались еще два новых интерфейса точки доступа  и .

Изменяем идентификатор роутера и точки доступа

Чтобы было удобно отслеживать, к какому устройству подключился клиент, переименуем их идентификаторы.

1. В настройках роутера перейдите в меню CAPsMAN на вкладку Remote CAP.
2. Откройте двойным щелчком мыши необходимое устройство.
3. Нажмите кнопку Set Identity.
4. В поле Identity укажите необходимое имя. Для роутера мы указали имя router, а для точки — ap1.
5. Нажмите кнопку Set Identity.
6. Нажмите кнопку OK.

Требования к оборудованию

На оборудовании MikroTik должна быть установлена операционная система RouterOS Level4 не ниже версии v6.23.

Если у вас старая версия RouterOS, обновите ее до последней. Как это сделать, описано в статье Как обновить MikroTik RouterOS.

Мы будем использовать двухдиапазонные устройства с поддержкой ac стандарта: роутер hAP ac и точку доступа wAP ac.

Краткая инструкция

В терминал главного микротика вставляем следующий конфиг, не забыв заменить пароль рабочей сети с 12345678 на Ваш пароль.

• /caps-man manager set enabled=yes
• /caps-man channel add band=2ghz-b/g/n frequency=2457 name=hs-channel1 tx-power=20 control-channel-width=20
• /caps-man datapath add bridge=hs-bridge name=hs-datapath1 client-to-client-forwarding=yes
• /caps-man datapath add bridge=inet-bridge name=inet-datapath1 client-to-client-forwarding=yes
• /caps-man security add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=”inet-security” passphrase=12345678
• /caps-man configuration add channel=hs-channel1 datapath=hs-datapath1 mode=ap name=hs-cfg1 rx-chains=0,1,2 tx-chains=0,1,2 ssid=CAPs-free
• /caps-man configuration add channel=hs-channel1 datapath=inet-datapath1 mode=ap name=inet-cfg1 rx-chains=0,1,2 tx-chains=0,1,2 ssid=CAPs-work security=inet-security
• /caps-man provisioning add action=create-dynamic-enabled master-configuration=inet-cfg1 slave-configuration=hs-cfg1
• /interface wireless cap set enabled=yes interfaces=wlan1 discovery-interface=ether1 bridge=none

В дополнительные роутеры и точки вставьте следующий конфиг:

• /interface bridge add name=hs-bridge
• /ip dns set allow-remote-requests=yes servers=8.8.8.8,208.67.222.222
• /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=hs-bridge
• /interface wireless cap set discovery-interfaces=hs-bridge enabled=yes interfaces=wlan1
• /interface bridge port add bridge=hs-bridge interface=ether3
• /interface bridge port add bridge=hs-bridge interface=ether4
• /interface bridge port add bridge=hs-bridge interface=ether5
• /interface bridge port add bridge=hs-bridge interface=ether2
• /interface bridge port add bridge=hs-bridge interface=ether1

Настройка сбрасывания клиентов с плохим уровнем сигнала

Бывают ситуации, когда клиентское устройство подключается к одной Wi-Fi точке и никак не хочет переключаться на другую, даже если стоять возле нее. В этом случае можно настроить принудительное сбрасывание клиента с точки в зависимости от уровня сигнала. Однако при таком сбросе, если вы разговариваете по Skype или Viber, произойдет завершение звонка и нужно будет перезвонить. Я этой настройкой не пользуюсь, поскольку мне не нравятся такие обрывы связи. Но если вам это необходимо, то приступайте к настройке.

1. В настройках роутера откройте меню CAPsMAN и перейдите на вкладку Access List.
2. Нажмите синий плюсик.
3. Укажите уровень, при котором сбрасывать клиента с Wi-Fi точки. На картинке видно, что клиент с уровнем сигнала —85 dBi и хуже (-120 dBi), будет сбрасываться с точки. Обратите внимание, что необходимый уровень сбрасывания прописывается справа! Поиграйтесь с уровнями от -75 до -85 (т.е. -120..-75, -120..-80, -120..-85), чтобы выбрать оптимальный для вас.
4. В списке Action выберите reject.
5. Нажмите кнопку OK.

Добавляем Wi-Fi точку в контроллер

Зайдите через программу Winbox в настройки Wi-Fi точки в меню Quick Set, выберите режим CAP и согласитесь с изменениями. После этого режим CAP автоматически поменяется на Ethernet — это нормально.

Если программа Winbox не находит вашу Wi-Fi точку, тогда подключитесь ноутбуком или смартфоном к устройству по Wi-Fi. После этого введите в браузере адрес 192.168.88.1, и вы попадете в Web-интерфейс настройки точки доступа. Откройте меню Quick Set, выберите режим CAP и нажмите кнопку Apply Configuration. После этого Winbox должен увидеть устройство, и можно приступать к настройке.

Перед настройкой проверьте, что у точки доступа в меню System — Packages активирован пакет wireless-cm2 и версия RouterOS совпадает с версией, установленной на роутере.

Приступаем к настройке.

1. Откройте меню Wireless, и на вкладке Interfaces нажмите кнопку CAP.
2. В появившемся окне поставьте галочку Enabled.
3. В поле Interfaces выберите wlan1 на 2,4ГГц. Чтобы добавить второй интерфейс, нажмите маленький черный треугольник по направлению вниз. Появится еще одно поле для выбора интерфейса, в котором укажите wlan2 на 5ГГц.
4. В списке Discovery Interfaces выберите бридж интерфейс.
5. Нажмите OK.

После этого Wi-Fi точка автоматически получит настройки и запустит интерфейсы wlan1 на 2,4ГГц и wlan2 на 5ГГц.

Теперь откройте настройки роутера, и перейдите в меню CAPsMAN на вкладку Interfaces. Здесь автоматически создались еще два новых интерфейса точки доступа cap3 и cap4.

Подключение к виртуальной Wi-Fi точке MikroTik

Подключим ноутбук по Wi-Fi к виртуальной Wi-Fi сети.

В правом нижнем углу монитора открываем значок со списком беспроводных сетей, находим нашу виртуальную Wi-Fi сеть MikroTik2 и нажимаем кнопку Подключение.

В следующем окне вводим пароль для доступа к виртуальной Wi-Fi точке MikroTik.

После подключения на ноутбуке появится интернет.

Просмотр сети и подключений в CAPsMAN

На главном устройстве в разделе CAPsMAN – Interfaces автоматически добавятся динамические виртуальные интерфейсы, которые будут соответствовать точкам доступа.

Вкладка Remote CAP отображает список подключенных управляемых точек доступа. Помимо MAC-адреса, здесь можно также увидеть модель точки доступа и версию установленного программного обеспечения RouterOS.

Колонка Radios указывает на количество радиоинтерфейсов, для абсолютного большинства точек доступа это значение равно 1.

Вкладка Radio менее информативна, она отображает сопоставление точек доступа и интерфейсов CAPsMAN.

Последняя вкладка – Registration Table, как следует из названия, этот раздел содержит сводную информацию о текущих подключениях на всех точках доступах.

Здесь можно посмотреть детальную информацию по каждому из клиентов: скорость, трафик, уровень сигнала и т.д.

MikroTik

Содержание

Активация пакета wireless-cm2

Перед настройкой, необходимо убедиться, что на всех устройствах используется пакет wireless-cm2.

Внимание! Начиная с RouterOS 6.37, пакет называется просто wireless.

Откройте меню System — Packages. В списке пакетов wireless-cm2 должен быть активным. Если он выделен серым цветом, а активен пакет wireless-fp или wireless-rep, тогда выберите wireless-cm2 и нажмите кнопку Enable. После этого перезагрузите устройство через меню System — Reboot.

CAPsMAN с двумя SSID — гостевая и рабочая сеть

Рассмотри случай, когда на микротике нужно настроить CAPsMAN с двумя сетями, рабочей и гостевой.
Для начала нужно настроить два бриджа на микротике с гостевой и рабочей сетью.
За основу возьмём инструкцию по настройке хотспота на микротике

Для будущего удобства рекомендуем заменить часть стандартного конфига:

• /ip pool add name=inet-pool ranges=192.168.100.2-192.168.103.253
• /ip dhcp-server add address-pool=inet-pool disabled=no interface=ether2 lease-time=16h name=inet-dhcp
• /ip address add address=192.168.100.1/22 comment=”Internet network” interface=ether2 network=192.168.100.0
• /ip dhcp-server network add address=192.168.100.0/22 comment=”Internet network” dns-server=8.8.8.8,208.67.222.222 gateway=192.168.100.1 netmask=22
• /ip firewall nat add action=masquerade chain=srcnat comment=”masquerade Internet network” src-address=192.168.100.0/22

на следующие строки:

• /interface bridge add name=inet-bridge
• /interface ethernet set [find default-name=ether2] master-port=none
• /interface bridge port add bridge=hs-bridge interface=ether2
• /ip pool add name=inet-pool ranges=192.168.100.2-192.168.103.253
• /ip dhcp-server add address-pool=inet-pool disabled=no interface=inet-bridge lease-time=16h name=inet-dhcp
• /ip address add address=192.168.100.1/22 comment=”Internet network” interface=inet-bridge network=192.168.100.0
• /ip dhcp-server network add address=192.168.100.0/22 comment=”Internet network” dns-server=8.8.8.8,208.67.222.222 gateway=192.168.100.1 netmask=22
• /ip firewall nat add action=masquerade chain=srcnat comment=”masquerade Internet network” src-address=192.168.100.0/22

Это нужно для того, чтобы рабочая сеть была настроена на отдельный inet-bridge, а не просто на отдельный порт в микротике.

После настройки, у Вас получится полноценный хотспот с гостевой и рабочей сетью, в разных бриджах (hs-bridge и inet-bridge).

Теперь настроим CAPsMAN.

Проверка работы бесшовного wifi роуминга

Теперь можно взять телефон на андроиде, поставить на него программу Wifi Analyzer и походить по всей покрываемой wifi территории, протестировать мощность сигнала, переключение от точке к точке. Переключение происходит не сразу, как только сигнал новой точки будет сильнее предыдущей. Если разница не очень большая, то переключение к новой не произойдет. Но как только разница начинает быть существенной, клиент перескакивает. Эту информацию можно наблюдать на контроллере.

После анализа зоны покрытия можно подкорректировать мощность точек доступа. Иногда может быть полезно настроить разную мощность на разных точках, в зависимости от схемы помещений. Но в общем и целом даже в базовой настройке все работает вполне стабильно и качественно. К данным моделям микротик (RB951G-2HnD) могут подключаться и комфортно работать по 10-15 человек. Дальше могут быть нюансы в зависимости от нагрузки. Эти цифры я привел из своих примеров реальной работы.

Настройка контроллера MikroTik CAPsMAN

Как настроить роутер MikroTik для раздачи интернета мы останавливаться не будем. Это подробно описано в статье Простая настройка MikroTik с помощью QuickSet. Переходим к настройке CAPsMAN.

Сначала активируем CAPsMAN:

1. Откройте меню CAPsMAN и перейдите на вкладку Interfaces.
2. Нажмите кнопку Manager.
3. В появившемся окне поставьте галочку Enable.
4. Нажмите кнопку OK.

Выполняем настройку Wi-Fi канала:

1. Перейдите на вкладку Channels.
2. Нажмите синий плюсик.
3. В появившемся окне в поле Name укажите название канала. Я назвал его channel2, поскольку он будет для частоты 2,4ГГц. Для частоты 5ГГц я буду использовать название channel5.
4. В поле Frequency укажите частоту, на которой будет работать Wi-Fi точка. К сожалению, нет выпадающего списка с частотами и частоту нужно прописать вручную. Подсмотреть список частот можете здесь или через меню Wireless — вкладка Interfaces — откройте настройки необходимого интерфейса, например, wlan1 — перейдите на вкладку Wireless и в выпадающем списке Frequency посмотрите частоты. Если не указать частоту, то она будет выбираться автоматически. Мы указали частоту 2412 Mhz.
5. В поле Width можете указать ширину канала 20Mhz. Ширина 40Mhz и 80Mhz пока не поддерживается. Мы оставили это поле пустым.
6. В поле Band укажите стандарты, в которых будет работать Wi-Fi точка. Для большей совместимости ставим стандарты b/g/n.
7. В поле Extension Channel указывается, в какую сторону от указанной частоты будет распределяться наш канал. Мы оставили это поле пустым.
8. В поле Tx Power укажите выходную мощность Wi-Fi, например, 20 dBm (100 мВт). Оставлять это поле пустым не желательно, поскольку в этом случае устройства будут работать на максимальной мощности, а это нужно далеко не всегда.
9. Нажмите кнопку OK.

У нас двухдиапазонные устройства, поэтому аналогичным образом настраиваем Wi-Fi канал для частоты 5ГГц. Если ваши устройства поддерживают только 2,4ГГц, то пропустите данный шаг.

В итоге получаем два канала: channel2 и channel5.

Настраиваем пароль для подключения к Wi-Fi сети:

1. Перейдите на вкладку Security Cfg.
2. Нажмите синий плюсик.
3. В появившемся окне в поле Name укажите название профиля. Мы оставили без изменения security1.
4. В поле Autentification Type укажите типа авторизации WPA2 PSK.
5. В Encryption выберите алгоритм aes ccm.
6. В списке Group Encryption выберите алгоритм aes ccm.
7. В поле Passphrase введите пароль для подключения к Wi-Fi точке.
8. Нажмите кнопку OK.

Настраиваем режим обработки данных Datapaths:

1. Перейдите на вкладку Datapaths
2. Нажмите синий плюсик.
3. В поле Name оставляем имя без изменения datapath1.
4. В списке Bridge выберите бридж интерфейс.
5. В поле Local Forwarding ничего не указываем, чтобы наша система работала в режиме Manager Forwarding Mode. Пару слов об этих режимах.
   В режиме Local Forwarding Mode обработка и перенаправление данных клиентов осуществляется непосредственно на Wi-Fi точках доступа, а не на роутере.
   В режиме Manager Forwarding Mode все данные клиентов передаются на роутер, где производится их обработка. В этом случае CAPsMAN полностью контролирует перенаправление данных, включая обмен данными между клиентами. Мне этот режим больше понравился, но он создает больше нагрузку на сеть и роутер.
6. Поставьте галочку Client To Client Forwarding, чтобы разрешить клиентам обмениваться данными друг с другом.
7. Нажмите OK.

Создаем новую конфигурацию для частоты 2,4ГГц.

1. Перейдите на вкладку Configurations.
2. Нажмите синий плюсик.
3. В появившемся окне на вкладке Wireless в поле Name укажите название конфигурации cfg2.
4. В списке Mode выберите режим работы ap — точка доступа.
5. В поле SSID укажите название Wi-Fi точки, например, mikrotik2.
6. Поставьте все галочки напротив HT Tx Chains и HT Rx Chains.

Перейдите на вкладку Channel и в списке Channel выберите наш канал на 2,4ГГц под названием channel2.

Перейдите на вкладку Datapath и выберите datapath1.

Перейдите на вкладку Security, укажите наш профиль безопасности security1 и нажмите кнопку OK.

По аналогии создайте новую конфигурацию для частоты 5ГГц. Если ваши устройства не поддерживают 5ГГц, то пропустите этот шаг.

В итоге получаем две конфигурации для 2,4 и 5ГГц.

Теперь необходимо настроить параметры развертывания Provisioning для частоты 2,4ГГц.

1. Откройте вкладку Provisioning.
2. Нажмите синий плюсик.
3. В списке Hw. Supported Modes выберите стандарты gn. Это означает, что указанная конфигурация будет применяться для устройств с поддержкой g и n стандартов, т.е. работающих на частоте 2,4ГГц.
4. В списке Action выберите create dynamic enabled, чтобы в контроллере CAPsMAN автоматически создавались интерфейсы подключаемых точек.
5. В списке Master Configuration выберите конфигурацию для 2,4ГГц, т.е. cfg2.
6. Нажмите OK.

Добавьте второе правило развертывания для частоты 5ГГц.

1. Нажмите синий плюсик.
2. В списке Hw. Supported Modes выберите стандарты an. Это означает, что указанная конфигурация будет применяться для устройств поддерживающих a и n стандарты, т.е. работающих на 5ГГц.
3. В списке Action выберите create enabled.
4. В списке Master Configuration выберите конфигурацию для 5ГГц, т.е. cfg5.
5. Нажмите OK.

Запрещаем клиентам гостевой сети доступ к сети администрации

Запретим клиентам доступ из одной сети в другую.

1. Откройте меню IP — Routes.
2. Перейдите на вкладку Rules.
3. Нажмите синий плюсик.
4. В поле Src. Address введите подсеть 192.168.88.0/24
5. В поле Dst. Address введите открытую подсеть 192.168.1.0/24
6. В списке Action выберите drop.
7. Нажмите OK.

Этим правилом мы запретили доступ из гостевой подсети 192.168.1.0/24 в административную подсеть 192.168.88.0/24.

Теперь добавим еще одно правило, чтобы запретить доступ из административной подсети 192.168.88.0/24 в гостевую подсеть 192.168.1.0/24, т.е наоборот.

1. Нажмите синий плюсик.
2. В поле Src. Address введите подсеть 192.168.1.0/24
3. В поле Dst. Address введите открытую подсеть 192.168.88.0/24
4. В списке Action выберите drop.
5. Нажмите OK.

Мозаика системного администрирования

Инструменты пользователя

Инструменты сайта

Показываем рекламу в гостевой Wi-Fi сети

Если вы хотите, чтобы гостей при подключении к открытой сети перебрасывало на рекламную страничку, необходимо настроить хот-спот. О настройке хот-спота читайте в статье Настройка HotSpot на Wi-Fi роутере MikroTik. Настройку начинайте с раздела 4. Настройка MikroTik HotSpot. В качестве интерфейса для хотспота Hotspot Inerface: укажите bridge-free — интерфейс нашей открытой сети и продолжайте настройку по статье.

Удаленно настраиваем оборудование. Стоимость.
Vodafone: +38 095 406-06-02
Киевстар: +38 067 675-65-55
Life: +38 093 889-78-96

Создание виртуальной Wi-Fi точки доступа MikroTik

Подключаемся к роутеру MikroTik с помощью программы Winbox и добавляем виртуальную Wi-Fi точку доступа:

1. Выбираем слева меню Wireless;
2. На вкладке Interfaces нажимаем кнопку Add (красный крестик);
3. В выпадающем списке выбираем VirtualAP;

   

4. В новом окне на вкладке General вводим в поле Name: название виртуального Wi-Fi интерфейса, например wlan2;

   

5. Переходим на вкладку Wireless;
6. В поле SSID: указываем название виртуальной Wi-Fi точки доступа, например MikroTik2;
7. В поле Master Interface: выбираем физический Wi-Fi интерфейс роутера wlan1;
8. Нажимаем кнопку OK.

Теперь в списке беспроводных интерфейсов появится новый виртуальный Wi-Fi интерфейс MikroTik.