MikroTik CAPsMAN без Vlan на Bridge

Настройка Wi-Fi контроллера CAPsMAN на 2 диапазона и несколько SSID сетей простым вариантом!

Заказав настройку MikroTik, вы получите 100% проработанное решение от опытного сетевого инженера.

CAPsMAN контроллер 2.4/5GHz Multi SSID на Vlan

Если у вас AX устройства — MikroTik AX WifiWave2 CAPsMAN 802.11r/k/v
Для более продвинутых сетей рекомендую настраивать на vlan по ссылке выше

В примере создание 5 сетей в диапазоне 2.4/5ГГц

1 и 2 сеть с прямым доступом в локальную (bridge) сеть с WPA2 и EAP авторизацией
3 сеть рабочая Wi-Fi с ограниченным доступом в локальную сеть
4 сеть гостевая — доступ только в Интернет
5 сеть с авторизацией HotSpot — доступ только в Интернет

Совет — делайте контроллер на отдельном устройстве!
Не обязательно с Wi-Fi, можно на Cloud Hosted Router
Так получите переносимость и простоту управления в будущем, но сложность первоначальной настройки
В данном примере будет настройка на самом маршрутизаторе, так как не все могут себе позволить отдельное устройство.

Содержание

Подготовка к настройке CAPsMAN

Для начала нужно переименовать дефолтный bridge1 в bridgeLAN для упрощения управления и чтения конфигурации, и создать дополнительные.

Bridge List — **Bridge**
Создаем:
bridgeWork
bridgeLAN
bridgeHotSpot
bridgeGuest

Экспорт:

/interface bridge
add name=bridgeGuest
add name=bridgeHotSpot
add name=bridgeLAN
add name=bridgeWork

Порты в Bridge — **bridgeLAN** — это наша **внутренняя** **основная сеть**, в нее включены физические интерфейсы, **кроме Wi-Fi**

bridgeWork — отдельная внутренняя ограниченная сеть с ограниченным доступом к внутренней основной сети
bridgeGuest — сеть для гостей. Доступен только Интернет
bridgeHotSpot — сеть для гостей с СМС авторизацией. Доступен только Интернет

IP > Address — IP — > Addresses
Вешаем на Bridge IP адреса

Экспорт:

/ip address
add address=172.16.0.1/24 interface=bridgeLAN
add address=172.17.0.1/24 interface=bridgeGuest
add address=172.18.0.1/24 interface=bridgeHotSpot
add address=172.19.0.1/24 interface=bridgeWork

Далее для каждой сети настраивается DHCP и правильный NAT

IP -> DHCP Server -> DHCP -> DHCP Setup

Экспорт

/ip dhcp-server
add address-pool=pool_LAN disabled=no interface=bridgeLAN lease-time=4w2d12h10m name=dhcpLAN
add address-pool=pool_Work disabled=no interface=bridgeWork name=dhcpWork
add address-pool=pool_Guest disabled=no interface=bridgeGuest name=dhcpGuest
add address-pool=pool_HotSpot disabled=no interface=bridgeHotSpot name=dhcpHotSpot
/ip dhcp-server network
add address=172.16.0.0/24 dns-server=172.16.0.1 gateway=172.16.0.1
add address=172.17.0.0/24 dns-server=172.19.0.1 gateway=172.17.0.1
add address=172.18.0.0/24 dns-server=172.19.0.1 gateway=172.18.0.1
add address=172.19.0.0/24 dns-server=172.19.0.1 gateway=172.19.0.1
/ip pool
add name=pool_LAN ranges=172.16.0.10-172.16.0.100
add name=pool_Work ranges=172.19.0.2-172.19.0.254
add name=pool_Guest ranges=172.17.0.2-172.17.0.254
add name=pool_HotSpot ranges=172.18.0.2-172.18.0.254
/ip firewall nat
add action=src-nat chain=srcnat ipsec-policy=out,none out-interface=FE1-WAN1 src-address=172.16.0.0/24 to-addresses=IP_Address
add action=src-nat chain=srcnat ipsec-policy=out,none out-interface=FE1-WAN1 src-address=172.17.0.0/24 to-addresses=IP_Address
add action=src-nat chain=srcnat ipsec-policy=out,none out-interface=FE1-WAN1 src-address=172.18.0.0/24 to-addresses=IP_Address
add action=src-nat chain=srcnat ipsec-policy=out,none out-interface=FE1-WAN1 src-address=172.19.0.0/24 to-addresses=IP_Address

Настройка CAPsMAN

Открываем CAPsMAN и начинаем настройку справа налево:

CAPsMAN Security Cfg. — CAPsMAN -> Security Cfg.

/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=securityGuest passphrase=PasswordWi-Fi
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=securityLAN passphrase=PasswordWi-Fi
add authentication-types=wpa2-eap eap-methods=passthrough encryption=aes-ccm name=securityEAP
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=securityWork passphrase=PasswordWi-Fi
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=securityHotSpot passphrase=PasswordWi-Fi

Security EAP CAPsMAN — EAP используется для авторизации через Active Directory
Пользователь подключается к Wi-Fi по своим доменным данным, причем к какой сети подключаться — управляется через группы безопасности

Security Guest CAPsMAN — Авторизация, если в сети нет очень старых устройств.
Autentication Type: **WPA2 PSK**
Encryption: **aes ccm**
Group Encryption: **aes ccm**
Passphase: **Пароль Wi-Fi**

Datapaths CAPsMAN — CAPsMAN -> Datapaths
Указываем в каких Bridge’s находятся сети

Все Datapatch CAPsMAN — Разрешен ли обмен трафиком между клиентами **Client To Client Forwarding**
Обрабатывается трафик через контроллер, либо локально **Local Forwarding**

Каналы CAPsMAN — CAPsMAN -> Channels
Указываем название каналов, ширину, стандарт и мощность
5GHz рекомендую указывать **onlyac**, если в сети современные устройства
Мощность чем ниже, тем лучше! При большой мощности **устройство начинает глушить само себя**.
Нужно подобрать мощность, чтобы клиентский сигнал был около -60
Идеально — 1 устройство на комнату/кабинет/спортзал до 15 устройств на точку.

Уровни сигнала CAPsMAN — CAPsMAN -> Registration Table
Хорошие уровни сигнала клиентов

Конфигурации CAPsMAN — CAPsMAN -> Configurations
Связываем все настройки

На примере 1Side-Work

Сборка конфигурации CAPsMAN — Name: **Даем понятное название**
Mode: ap
SSID: **Название сети**
Country: **russia3**
Обязательно указываем страну!
HT Tx Chains/HT Rx Cnains **указываем все каналы**

Указание канала CAPsMAN — Channel: Созданный ранее канал на 5ГГц OnlyAC

Указание datapatch CAPsMAN — Datapatch: Созданный ранее связанный с bridgeWork

Указание Security CAPsMAN — Security: Созданные ранее настройки безопасности

/caps-man configuration
add channel=channel2 country=russia3 datapath=datapathGuest mode=ap name=Guest2 rx-chains=0,1,2,3 security=securityGuest ssid=1Side-Guest tx-chains=0,1,2,3
add channel=channel5 country=russia3 datapath=datapathGuest mode=ap name=Guest5 rx-chains=0,1,2,3 security=securityGuest ssid=1Side-Guest tx-chains=0,1,2,3
add channel=channel2 country=russia3 datapath=datapathLAN mode=ap name=LAN2 rx-chains=0,1,2,3 security=securityLAN ssid=1Side tx-chains=0,1,2,3
add channel=channel5 country=russia3 datapath=datapathLAN mode=ap name=LAN5 rx-chains=0,1,2,3 security=securityLAN ssid=1Side tx-chains=0,1,2,3
add channel=channel5 country=russia3 datapath=datapathWork mode=ap name=Work5 rx-chains=0,1,2,3 security=securityWork ssid=1Side-Work tx-chains=0,1,2,3
add channel=channel2 country=russia3 datapath=datapathWork mode=ap name=Work2 rx-chains=0,1,2,3 security=securityWork ssid=1Side-Work tx-chains=0,1,2,3
add channel=channel2 country=russia3 datapath=datapathLAN mode=ap name=LAN2-EAP rx-chains=0,1,2,3 security=securityEAP ssid=1Side-EAP tx-chains=0,1,2,3
add channel=channel5 country=russia3 datapath=datapathLAN mode=ap name=LAN5-EAP rx-chains=0,1,2,3 security=securityEAP ssid=1Side-EAP tx-chains=0,1,2,3
add channel=channel5 country=russia3 datapath=datapathHotSpot mode=ap name=HotSpot5 rx-chains=0,1,2,3 security=securityHotSpot ssid=1Side-HotSpot tx-chains=0,1,2,3
add channel=channel2 country=russia3 datapath=datapathHotSpot mode=ap name=HotSpot2 rx-chains=0,1,2,3 security=securityHotSpot ssid=1Side-HotSpot tx-chains=0,1,2,3

Настройка Provisioning CAPsMAN — CAPsMAN -> Provisioning
Собираются в едино все настройки сетей

/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=LAN2 name-format=identity slave-configurations=Work2,LAN2-EAP,Guest2,HotSpot2
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=LAN5 name-format=identity slave-configurations=Work5,LAN5-EAP,Guest5,HotSpot5

Включение CAPsMAN контроллера — CAPsMAN -> Manager -> Enabled
Включаем контроллер

/caps-man manager
set enabled=yes

Настройка Firewall и безопасность сетей

Если firewall дефолтный, то его нужно донастроить, чтобы все работало. От него будем отталкиваться.

Если CAPsMAN контроллер работает на самом Wi-Fi устройстве, нужно разрешить входящий udp трафик на порты 5246,5247 с адреса 127.0.0.1 на 127.0.0.1 (сам на себя)

Внимание! Разрешающие правила нужно ставить до запрещающих!

/ip firewall filter
add action=accept chain=input comment=CAPsMAN dst-address=127.0.0.1 dst-port=5246,5247 protocol=udp src-address=127.0.0.1

Сети с прямым доступом в bridge будут работать без ограничений. Но остальные нужно ограничить.

Для остальных сетей нужно разрешить DNS (udp 53 порт)
Объединяем их в Interfaces -> Interface List
Создаем лист Bridge-Ext

Firewall Input — IP -> Firewall разрешим входящий трафик с листа Bridge-Ext до udp 53

/ip firewall filter
add action=accept chain=input comment=DNS-In dst-port=53 in-interface-list=Bridge-Ext protocol=udp

Все сети будут иметь доступ только в Интернет, за исключением рабочей сети, из которой будет доступен «белый» список IP адресов локальной сети.

Создадим правило для bridgeWork

Forewall Forward — Chain: forward
In. Interface: bridgeWork

Firewall Address List — Dst. Address List: До списка адресов

/ip firewall filter
add action=accept chain=forward comment=Accept_BridgeWork_WiFi dst-address-list=Accept_BridgeWork_WiFi in-interface=bridgeWork

DHCP Lease Address List — Либо указывать в DHCP, если контроллер является таковым

Firewall Forward !WAN — Запрещаем трафик из списка интерфейсов Bridge-Ext в интерфейсы, кроме WAN

/ip firewall filter
add action=drop chain=forward comment="Only WAN" in-interface-list=Bridge-Ext out-interface-list=!WAN

Firewall forward LAN — Запрещаем хождение трафика из списка LAN в Bridge-Ext

/ip firewall filter
add action=drop chain=forward comment="Drop LAN to Bridge" in-interface-list=LAN out-interface-list=Bridge-Ext

Подключение к CAPsMAN новых устройств

CAPsMAN Connect — Wireless -> CAP -> Enabled
Указываем IP адрес контроллера и через какой интерфейс его искать