Настройка capsmanv2 mikrotik. бесшовный роуминг

Результаты применения настроек в CAPsMAN (CAP = CAPsMAN)

В данном примере CAPsMAN и CAP на одном устройстве, видим точки и их интерфейсы получившие настройки

MDBR — master dynamic bound running — для активного динамического интерфейса

M B — master bound — для выключенного в CAPsMAN интерфейса

Конфигурация CAPsMAN с сертификатами

Вариант работы с использованием сертификатов в CAPsMAN для использования параметров как Require Peer Certificate и Lock To Caps Man.
Эти параметры повышают безопасность и, в некоторых случаях, стабильность вашей сети CAPsMAN. CAP не будут подключаться к CAPsMAN без специального сертификата и наоборот.

Это базовая конфигурация для использования сертификатов в настройке CAPsMAN. В этом примере предполагается, что у вас уже есть базовая конфигурация на CAPsMAN и CAP.
Лучше использовать эту конфигурацию в сетях CAPsMAN, которые не постоянно растут.

CAP to CAPsMAN принцип работы

Для того чтобы система CAPsMAN функционировала и обеспечивала беспроводную связь, CAP должен установить соединение управления с CAPsMAN.
Соединение управления может быть установлено с использованием протоколов MAC или IP layer и защищено с помощью «DTLS».

CAP также может передавать клиентское соединение данных с Менеджером, но соединение с данными не защищено. Если это считается необходимым,
тогда необходимо использовать другие средства защиты данных, например. IPSec или зашифрованные туннели.

Соединение CAP to CAPsMAN может быть установлено с использованием 2 транспортных протоколов (через Layer 2 и Layer 3).

  • MAC layer особенности соединения:
    • no IP configuration necessary on CAP
    • CAP and CAPsMAN must be on the same Layer 2 segment — either physical or virtual (by means of L2 tunnels)
  • IP layer (UDP) особенности соединения:
    • can traverse NAT if necessary
    • CAP must be able to reach CAPsMAN using IP protocol
    • if the CAP is not on the same L2 segment as CAPsMAN, it must be provisioned with the CAPsMAN IP address, because IP multicast based discovery does not work over Layer3

Чтобы установить соединение с CAPsMAN, CAP выполняет процесс обнаружения. Во время обнаружения CAP пытается связаться с CAPsMAN и создает список доступных CAPsMAN.
CAP пытается связаться с доступным CAPsMAN, используя:

  • configured list of Manager IP addresses
  • list of CAPsMAN IP addresses obtained from DHCP server
  • broadcasting on configured interfaces using both — IP and MAC layer protocols.

Когда список доступных CAPsMANs построен, CAP выбирает CAPsMAN на основе следующих правил:

  • if caps-man-names parameter specifies allowed manager names (/system identity of
    CAPsMAN), CAP will prefer the CAPsMAN that is earlier in the list, if list
    is empty it will connect to any available Manager
  • suitable Manager with MAC layer connectivity is preferred to Manager with IP connectivity

После выбора «Менеджер» CAP пытается установить соединение DTLS. Возможны следующие способы аутентификации:

  • no certificates on CAP and CAPsMAN — no authentication
  • only Manager is configured with certificate — CAP checks CAPsMAN certificate, but does not fail if it does
    not have appropriate trusted CA certificate, CAPsMAN must be configured with require-peer-certificate=no in
    order to establish connection with CAP that does not possess certificate
  • CAP and CAPsMAN are configured with certificates — mutual authentication

После установления соединения DTLS CAP может дополнительно проверить поле CommonName сертификата, предоставленного CAPsMAN.
Параметр cap-man-certificate-common-names содержит список допустимых значений CommonName. Если этот список не пуст, CAPsMAN
должен быть настроен с сертификатом. Если этот список пуст, CAP не проверяет поле CommonName.

Если CAPsMAN или CAP отключится от сети, потеря соединения между CAP и CAPsMAN будет обнаружена примерно через 10-20 секунд.

Ограничиваем скорость в гостевой Wi-Fi сети

Чтобы гости не заняли весь канал интернета, и сотрудникам организации было комфортно работать, необходимо настроить ограничения скорости для каждого клиента гостевой сети.

Допустим у нас есть входной интернет канал 100 Мбит/с. Для внутренней сети кафе достаточно минимальной скорости 20 Мбит/с. Остальные 80 Мбит/с мы выделим для гостевой сети. Каждому гостю сделаем ограничение скорости в 2 Мбит/с.

Перед настройкой необходимо убедиться, что на роутере в фаерволе отключен fasttrack. Эта технология появилась начиная с RouterOS 6.29 и позволяет увеличить производительность путем пересылки данных без их дополнительной обработки. Однако если она включена, то ограничения скорости не сработают. Обычно это проявляется так: скорость загрузки не срабатывает, а скорость отдачи работает. Поэтому fasttrack необходимо отключить, либо применить для подсети, в которой не будут действовать ограничения скорости.

  1. Откройте меню IP — Firewall.
  2. На вкладке Filter Rules выберите правило fasttrack connection.
  3. Нажмите красный крестик Disable, чтобы деактивировать правило.

Но мы не будем его деактивировать, а применим для внутренней сети администрации 192.168.88.0/24, в которой не будут действовать ограничения.

  1. Сделайте двойной щелчок по правилу, чтобы открыть его настройки.
  2. В поле Src. Address укажите сеть 192.168.88.0/24
  3. Нажмите кнопку OK.

Теперь приступаем к настройке ограничений скорости для гостевой подсети 192.168.1.0/24.

Добавим pcq очередь на загрузку с ограничением 2 Мбит/с.

  1. Откройте меню Queues.
  2. Перейдите на вкладку Queue Types.
  3. Нажмите синий плюсик.
  4. В поле Type Name укажите название очереди на загрузку pcq-download-2M.
  5. В списке Kind выберите pcq.
  6. В поле Rate укажите ограничение скорости на загрузку 2M (2 Мбит/с).
  7. Проверьте, что напротив Dst. Address стоит галочка.
  8. Нажмите кнопку OK.

Добавим pcq очередь на отдачу с ограничением 2 Мбит/с.

  1. Нажмите синий плюсик.
  2. В поле Type Name укажите название очереди на загрузку pcq-upload-2M.
  3. В списке Kind выберите pcq.
  4. В поле Rate укажите ограничение скорости на отдачу 2M (2 Мбит/с).
  5. Поставьте галочку напротив Src. Address.
  6. Уберите галочку напротив Dst. Address.
  7. Нажмите кнопку OK.

Теперь добавим правило с ограничениями скоростей.

  1. Перейдите на вкладку Simple Queues.
  2. Нажмите синий плюсик.
  3. В поле Name укажите название правила queue-free-limit-2M.
  4. В поле Target укажите нашу открытую подсеть 192.168.1.0/24
  5. В поле Max Limit в колонке Target Upload укажите максимальную скорость отдачи 80M (80 Мбит/с), которую мы выделяем на всю открытую подсеть.
  6. В поле Max Limit в колонке Target Download укажите максимальную скорость загрузки 80M (80 Мбит/с), которую мы выделяем на всю открытую подсеть.
     
  7. Перейдите на вкладку Advanced.
  8. В списке Queue Type в колонке Target Upload выберите pcq-upload-2M.
  9. В списке Queue Type в колонке Target Download выберите pcq-download-2M.
  10. Нажмите кнопку OK.

Теперь подключитесь к открытой Wi-Fi сети mikrotik2free или mikrotik5free, и проверьте скорость с помощью сайта www.speedtest.net или аналогичного мобильного приложения.

Описание

MikroTik BaseBox 2 (RB912UAG-2HPnD-OUT) — беспроводная точка доступа для внешнего размещения, которая выполнена во всепогодном влагостойком корпусе и работает на частоте 2,4 ГГц.

Гигабитная точка доступа BaseBox 2 отлично подойдет для беспроводной базовой станции с высокой пропускной способностью или для организации Wi-Fi моста.

На плате устройства установлен процессор Atheros AR9342 600 МГц и оперативная память 64 МБ DDR2. Беспроводной модуль Atheros AR9283 работает в стандартах 802.11b/g/n с канальной скоростью до 300 Мбит/с. Управляет устройством предустановленная операционная система RouterOS Level4, позволяющая ограничивать скорость клиентам и многое другое.

Точка доступа имеет один гигабитный сетевой порт, порт USB 2.0 для подключения внешних накопителей или 3G модемов. Клемма заземления позволяет подключить устройство к шине заземления и защитить устройство от статических помех.

Устройство оснащено двумя SMA разъемами для подключения внешней антенны. Разъемы защищает от попадания влаги пластиковая крышка.

На корпусе MikroTik BaseBox 2 есть три дополнительных места для установки SMA разъемов. Они пригодятся в том случае, если вы захотите сделать устройство двух диапазонным. Для этого нужно будет подключить Wi-Fi адаптер miniPCIe на 5 ГГц к внутренней плате RB912 и вывести наружу SMA разъемы.

Питание подается на устройство по сетевому кабелю с помощью POE инжектора, идущего в комплекте поставки. Также в комплектацию входит монтажный хомут для крепления корпуса на мачту. Светодиодные индикаторы на корпусе позволяют выполнять позиционирование антенны в нужном направлении.

Устройство в данном форм факторе давно ждали от MikroTik. Раньше приходилось покупать платы MikroTik, искать к ним всепогодный корпус, пигтейлы, Wi-Fi карты, потом собирать весь этот конструктор. Теперь вы можете купить MikroTik BaseBox 2 и быстро подключить антенну, не тратя время на поиск необходимых компонентов и их сборку.

Характеристики

Система
Процессор: Atheros AR9342 600 MГц
RAM: 64 MB DDR2
Разъемы: 1 × 10/100/1000 Base-TX (Cat. 5, RJ-45) Ethernet
1 × miniPCIe (для 802.11 карты или 3G)
1 × SIM slot (для 3G модема)
1 × USB 2.0
2 × SMA
ОС: MikroTik RouterOS Level4 license
Радиомодуль
Чипсет: Atheros AR9283
Стандарты: 802.11b/g/n
Режимы работы: Access point
Station
Point-to-point
Пропускная способность: 300 Мбит/с
Частоты: 2400–2500 МГц
Передатчик/Приемник: Tx/Rx @ MCS0: 30/-96 dBmTx/Rx @ MCS7: 24/-78 dBmTx/Rx @ 6Mbit: 30/-96 dBmTx/Rx @ 54Mbit: 27/-80 dBm
Другое
Размеры: 24,6 × 13,5 × 5 см
Вес: 390 г
Электропитание: 8–30 В, POE-адаптер в комплекте
Рабочая температура: от -30°C до +80°С

CAP

#Зададим в конфигурации CAP запрос сертификата:

CAP будет подключаться к CAPsMAN и запрашивать сертификат. CAP получит форму CA-Certificate CAPsMAN, а другой сертификат будет создан для использования в CAP.

На устройстве CAP в меню CAP установлен требуемый сертификат:

Если вы хотите разрешить только CAP с действительным сертификатом для подключения к этому CAPsMAN, вы можете установить Require Peer Certificate на yes на устройстве CAPsMAN:

Однако, когда вы захотите добавить новые CAP-устройства в свою сеть CAPsMAN, вам придется установить этот параметр равным нулю, а затем вернуться к дам после получения сертификатами CAP.
Каждый раз, когда вы меняете этот параметр, CAPsMAN удаляет все динамические интерфейсы, и CAP попытаются снова подключиться.

Если вы хотите заблокировать CAP для определенного CAPsMAN и убедитесь, что он не будет подключаться к другим CAPsMANs, вы должны установить опцию Lock To CAPsMAN на yes.
Кроме того, вы можете указать CAPsMAN для блокировки, установив общие имена сертификатов CAPsMAN на устройстве CAP:

Описание

MikroTik LHG LTE kit (модель RBLHGR&R11e-LTE) позволяет принимать мобильный интернет на большом расстоянии от базовой станции оператора. Поддерживаются мобильные операторы Киевстар, Vodafone, Lifecell, 3Mob. Устройство имеет встроенный 2G/3G/4G (LTE) модем и направленную антенну с усилением 17 dBi.

В условиях прямой видимости и установки антенны на большой высоте, устройство можно использовать на расстоянии до 12 км от вышки мобильного оператора.

Максимальная скорость 4G на загрузку составляет 150 Мбит/с и на отдачу – 50 Мбит/с.

Встроенный LTE модем поддерживает международные LTE полосы 1, 2, 3, 7, 8, 20, 38 и 40. Он имеет один слот для сим-карты формата Mini-SIM.

MikroTik LHG LTE kit оснащен одним Ethernet портом для подключения к Wi-Fi роутеру или к компьютеру.

Устройство имеет всепогодный корпус и крепится на мачту или трубу. Антенна представляет из себя металлическую сетку на пластиковом каркасе. Она имеет низкую парусность и хорошо противостоит ветровым нагрузкам. Наклон антенны регулируется в пределах 5° с помощью металлической пластины, входящей в комплект поставки.

Питание подается на устройство удаленно по сетевому кабелю с помощью PoE инжектора, который входит в комплект поставки. Длина кабеля может достигать 50 метров при условии использования качественного медного экранированного кабеля “витая пара”, например, OK-net КППЭ-ВП (100) 4х2х0,51 (FTP – cat.5e).

Для приема мобильного интернета лучше купить MikroTik LHG LTE kit, чем отдельно покупать 4G модем и антенну с коаксиальным кабелем. У данного устройства LTE модем встроен в антенну, поэтому не происходят потери сигнала по коаксиальному кабелю. Также вы можете использовать кабель “витая пара” намного большей длины (до 50 метров). Коаксиальный кабель обычно используют длиной не более 10 метров из-за возникновения высоких потерь сигнала.

Summary

Sub-menu:

HWMP+ is a MikroTik specific layer-2 routing protocol for wireless mesh networks. It is based on Hybrid Wireless Mesh Protocol (HWMP) from IEEE 802.11s draft standard. It can be used instead of (Rapid) Spanning Tree protocols in mesh setups to ensure loop-free optimal routing.

The HWMP+ protocol however is not compatible with HWMP from IEEE 802.11s draft standard.

Note that the distribution system you use for your network need not to be Wireless Distribution System (WDS). HWMP+ mesh routing supports not only WDS interfaces, but also Ethernet interfaces inside the mesh. So you can use simple Ethernet based distribution system, or you can combine both WDS and Ethernet links!

Note: Prerequisites for this article: you understand what WDS is and why to use it!
Software versions: 3.28+ (earlier versions are incompatible)

Step #1, setup router

Router

Get an IP address from WAN (or add a static IP address)

/ip dhcp-client
add disabled=no interface=ether1

Create a bridge and add bridge ports to it

/interface bridge
add name=bridge
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5

Add an IP address to the bridge

/ip address
add address=192.168.88.1/24 interface=bridge

Setup DHCP Server

/ip pool
add name=pool1 ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=pool1 disabled=no interface=bridge
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=8.8.8.8 gateway=192.168.88.1

Setup NAT on your router

/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface=ether1

Note: You can skip these steps in case you have reset your device to defaults, these steps were only required for devices with no configuration at all (empty config).

Процесс подключения точки WiFi к CAPsMAN.

Подключение точки CAP к CAPsMAN может осуществляться на канальном уровне Layer2 используя mac-адреса и на сетевом уровне Layer3 используя ip-адреса. Подключение на основе Layer3 может пригодиться когда точка доступа и CAPsMAN находятся в разных сегментах сети.

Чтобы подключиться к CAPsMAN точка доступа запускает процесс обнаружения и создает список обнаруженных CAPsMAN. Обнаружение происходит с использованием:

  • Списка ip-адресов
  • списка CAPsMAN полученного от DHCP сервера
  • широковещательных запросов на уровне Layer 2 и Layer 3;

После построения списка доступных CAPsMAN точка выбирает к кому из них подключиться на основе следующих правил:

  • список имен разрешенных в CAPsMAN Names;
  • контроллер точек доступа доступный по MAC предпочтительнее доступного по IP.

После того как точка доступа CAP выбрала к какому контроллеру подключаться происходит процесс аутентификации. Возможны следующие варианты:

  • На CAPsMAN и CAP нет сертификатов — подключение без аутентификации;
  • Сертификат только у CAPsMAN — аутентификация возможна в случае следующей настройки на менеджере require-peer-certificate=no;
  • CAPsMAN и CAP имеют доверенные сертификаты — взаимная аутентификация.

В случае использования сертификата CAP может дополнительно проверить значение CommonName в сертификате от CAPsMAN. Параметр caps-man-certificate-common-names содержит список разрешенных значений CommonName. Если список пуст то CAP не будет проверять это поле CommonName.

В случае разрыва соединения между CAP и CAPsMAN потеря связи будет обнаружена через 10-20 секунд.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector