Создание wifi сети, capsman v2, 2.4 & 5GGh

Как оказывается проблема со всеми клиентами, и это касается только 2.4 Ггц, на 5 Ггц клиенты цепляются нормально.

 

настройки дай посмотреть наcтройки cAPsMan
configuration
provisioning

 

/caps-man configuration
add channel=2G datapath=datapath distance=indoors guard-interval=long \
hw-protection-mode=rts-cts mode=ap multicast-helper=full name=blabla2G \
rx-chains=0,1,2 security=blabla ssid=blabla tx-chains=0,1,2
add channel=2G datapath=datapath distance=indoors hw-protection-mode=rts-cts \
mode=ap name=NordStar2G rx-chains=0,1,2 security=NordStar ssid=NordStar \
tx-chains=0,1,2
add channel=2G datapath=datapath distance=indoors hw-protection-mode=rts-cts \
mode=ap name=Proviz2G rx-chains=0,1,2 security=Proviz ssid=Proviz \
tx-chains=0,1,2
add channel=2G datapath=Sister distance=indoors guard-interval=long \
hw-protection-mode=rts-cts mode=ap multicast-helper=full name=Sister \
security=Sister ssid=Sister
add channel=2G datapath=datapath-GuestNetwork distance=indoors guard-interval=\
long hw-protection-mode=rts-cts mode=ap multicast-helper=full name=Brother2G \
rx-chains=0,1,2 security=Brother ssid=Brother tx-chains=0,1,2
add channel=5G datapath=datapath-GuestNetwork distance=indoors guard-interval=\
long hw-protection-mode=rts-cts mode=ap multicast-helper=full name=Brother5G \
rx-chains=0,1,2 security=Brother ssid=Brother tx-chains=0,1,2
add channel=5G datapath=datapath distance=indoors guard-interval=long \
hw-protection-mode=rts-cts mode=ap multicast-helper=full name=NordStar5G \
rx-chains=0,1,2 security=NordStar ssid=NordStar tx-chains=0,1,2
add channel=5G datapath=datapath distance=indoors guard-interval=long \
hw-protection-mode=rts-cts mode=ap multicast-helper=full name=blabla5G \
rx-chains=0,1,2 security=blabla ssid=blabla tx-chains=0,1,2
add channel=5G datapath=datapath distance=indoors guard-interval=long \
hw-protection-mode=rts-cts mode=ap multicast-helper=full name=Proviz5G \
rx-chains=0,1,2 security=Proviz ssid=Proviz tx-chains=0,1,2
add channel=2G datapath=datapath distance=indoors guard-interval=long \
hw-protection-mode=rts-cts mode=ap multicast-helper=full name=WN security=\
WN ssid=WN
add channel=2G datapath=datapath-GuestNetwork distance=indoors guard-interval=\
long hw-protection-mode=rts-cts mode=ap multicast-helper=full name=123456 \
rx-chains=0,1,2 security=123456 ssid=123456 tx-chains=0,1,2
add channel=2G datapath=datapath distance=indoors hw-protection-mode=rts-cts \
mode=ap name=MSIWN rx-chains=0,1,2 security=Proviz ssid=MSIWN tx-chains=\
0,1,2
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=Brother2G name-format=\
identity radio-mac=641:B0B:91:15 slave-configurations=\
NordStar2G,Proviz2G,blabla2G,Sister
add action=create-dynamic-enabled comment="IT 2G" hw-supported-modes=b,gn \
master-configuration=Brother2G name-format=identity radio-mac=\
CC:2D:E0:2B:76:C2 slave-configurations=\
NordStar2G,Proviz2G,blabla2G,Sister,WN
add action=create-dynamic-enabled comment="IT 5G" hw-supported-modes=a,ac,an \
master-configuration=Brother5G name-format=identity radio-mac=\
CC:2D:E0:2B:76:C3 slave-configurations=NordStar5G,Proviz5G,blabla5G
add action=create-dynamic-enabled comment="WN 2G" master-configuration=Brother2G \
name-format=identity radio-mac=CC:2D:E0:5D:75:B6 slave-configurations=\
NordStar2G,Proviz2G,blabla2G,MSIWN
add action=create-dynamic-enabled comment="WN 5G" hw-supported-modes=a,ac,an \
master-configuration=Brother5G name-format=identity radio-mac=\
CC:21:E0:5D:75:BA slave-configurations=NordStar5G,Proviz5G,blabla5G
add action=create-dynamic-enabled hw-supported-modes=b,gn master-configuration=\
Brother2G name-format=identity name-prefix=2G slave-configurations=\
NordStar2G,Proviz2G,blabla2G
add action=create-dynamic-enabled hw-supported-modes=an,ac,a \
master-configuration=Brother5G name-format=identity name-prefix=5G \
slave-configurations=NordStar5G,Proviz5G,blabla5G

 

Упрости конфигурацию и количество SSID, вообще на 2.4 лучше использовать не больше 3-ех виртуальных интерфейсов SSID

add action=create-dynamic-enabled hw-supported-modes=b,g,gn master-configuration=TEST-2.4 \
name-format=identity slave-configurations=TEST-2.4

caps-man configuration
add channel=2G datapath=datapath distance=indoors guard-interval=both \
hw-protection-mode=rts-cts mode=ap multicast-helper=full name=blabla2G \
rx-chains=0,1 security=blabla ssid=blabla tx-chains=0,1

Вот тут хорошее выступление на тему оптимизации работы CapSMAN

https://mum.mikrotik.com/2018/EU/agenda/EN#0DMTM1O5U9
CAPsMAN WiFi Layer 1 Optimisation by Ron Touw (LinITX, United Kingdom)

 

В чем может быть проблема?
если mAP выполняет роль capsman то я вообще не вижу ssid

[admin@MikroTik] > caps-man export
# jun/06/2018 15:36:01 by RouterOS 6.42.3
# software id = 6HPA-3CT8
#
# model = RouterBOARD mAP 2nD
# serial number = 8EAE08E89632
/caps-man interface
add disabled=no mac-address=CC:2D:E0:19:E4:30 master-interface=none name=cap1 \
radio-mac=CC:2D:E0:19:E4:30
add disabled=no mac-address=CC:2D:E0:45:11:09 master-interface=none name=cap2 \
radio-mac=CC:2D:E0:45:11:09
/caps-man configuration
add datapath.bridge=bridge_test1 datapath.local-forwarding=yes mode=ap name=\
cfg1 security.authentication-types=wpa-psk,wpa2-psk security.encryption=\
aes-ccm security.passphrase=12345678 ssid=test1
/caps-man provisioning
add action=create-enabled master-configuration=cfg1 name-format=identity


а если CRS125-24G-1S capsman, то не могу создать вторую сеть

[r0dina@MikroTik] > caps-man export
# jun/06/2018 16:06:23 by RouterOS 6.42.3
# software id = QVSA-JEF5
#
# model = CRS125-24G-1S
# serial number = 5A8C04C70A00
/caps-man configuration
add datapath.bridge=bridge-CAPsMAN datapath.client-to-client-forwarding=yes \
mode=ap name=test-cfg1 security.authentication-types=wpa-psk,wpa2-psk \
security.encryption=aes-ccm security.passphrase=******** ssid=rtest
add datapath.bridge=bridgeWIFI_VPN name=cfg1 security.authentication-types=\
wpa-psk,wpa2-psk security.encryption=aes-ccm security.passphrase=12345678 \
ssid=test2
/caps-man interface
# radio locked to country 'russia3'
add configuration=test-cfg1 disabled=no l2mtu=1600 mac-address=\
CC:2D:E0:19:E4:30 master-interface=none name=MikroTik-1 radio-mac=\
CC:2D:E0:19:E4:30
# radio locked to country 'russia3'
add configuration=test-cfg1 disabled=no l2mtu=1600 mac-address=\
CC:2D:E0:45:11:09 master-interface=none name=MikroTik-2 radio-mac=\
CC:2D:E0:45:11:09
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-enabled master-configuration=test-cfg1 name-format=identity
[r0dina@MikroTik] >

 

Добрый день,
Перечитал все, но не могу понять почему не работает у меня.
Проблемы 2:
1. Provision не подцепляет конфиг для сети 5Гц
2. Cap'ы подключаются только если стоит первый канал в настройках и на 2.4 и на 5 Гц

Код:

/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412 name=ch1-2.4 tx-power=20
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2347 name=ch6-2.4 tx-power=20
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5200 name=ch44-5 tx-power=20
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5260 name=ch52-5 tx-power=20
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5180 name=ch36-5 tx-power=20
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=WIFI_Network passphrase=11111111
/caps-man configuration
add channel=ch1-2.4 country=russia datapath=Main hide-ssid=no mode=ap name=\
    cfg2.4-1 rx-chains=0,1,2 security=WIFI_Network ssid=WIFI_Network tx-chains=0,1,2
add channel.extension-channel=Ceee channel.tx-power=20 country=russia datapath=\
    Main hide-ssid=no mode=ap name=cfg5-2 rx-chains=0,1,2 security=WIFI_Network \
    ssid=WIFI_Network tx-chains=0,1,2
add channel=ch44-5 channel.tx-power=20 country=russia datapath=Main hide-ssid=\
    no mode=ap name=cfg5-1 rx-chains=0,1,2 security=WIFI_Network ssid=WIFI_Network \
    tx-chains=0,1,2
add channel=ch6-2.4 country=russia datapath=Main hide-ssid=no mode=ap name=\
    cfg2.4-2 rx-chains=0,1,2 security=WIFI_Network ssid=WIFI_Network tx-chains=0,1,2
add channel=ch36-5 channel.tx-power=20 country=russia datapath=Main hide-ssid=\
    no mode=ap name=cfg5-3 rx-chains=0,1,2 security=WIFI_Network ssid=WIFI_Network \
    tx-chains=0,1,2
/caps-man datapath
add bridge=SWITHES client-to-client-forwarding=yes local-forwarding=yes name=\
    Main
/caps-man interface
add channel=ch36-5 configuration=cfg5-3 disabled=no l2mtu=1600 mac-address=\
    CC:2D:E0:20:58:BF master-interface=none name=cap21 radio-mac=\
    CC:2D:E0:20:58:BF
add channel=ch36-5 configuration=cfg5-3 disabled=no l2mtu=1600 mac-address=\
    64:D1:54:78:37:17 master-interface=none name=cap23 radio-mac=\
    64:D1:54:78:37:17
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=an,ac,a,g \
    master-configuration=cfg5-3
add action=create-dynamic-enabled hw-supported-modes=b,gn master-configuration=\
    cfg2.4-1

 

country=russia3 включите

 

Приветствую господа спецы!
Имею небольшой вопрос, касающийся изоляции гостевой сети на CAPsMAN.

На текущий момент имеется следующая конфигурация:

В качестве основного маршрутизатора выступает RB750Gr3 (hEX). На нем присутствуют 2 бриджа - bridge-office и bridge-guest. На этом же маршрутизаторе включен CAPsMAN.

Имеются 2 точки доступа wAP, работают в режиме CAP, WLAN само собой в бридж не включен. Сам CAPsMAN настроен таким образом, что требует наличие сертификата, что позволяет избежать несанкционированного добавления AP.

На контроллере прописаны 2 провижина, по одному на точку. Настройки обеих провижинов идентичны, т.е. у меня одинаковый SSID и канал. При этом на каждую точку доступа назначается 2 SSID: первый (master) кидает интерфейс в bridge-office, второй (slave) - в bridge-guest. Как вы понимаете, "галка" Local Forwarding отключена и всех клиентов я "принимаю" на основном шлюзе. Также для гостевой сети отключена CtCF (client-to-clien forwarding), чтобы повысить безопасность. Гостевая естественно WPA2 AES, а не Open.

Для гостевого бриджа выдаются IP из отдельного пула совсем другой сети - 192.168.х для основной и 10.х для гостевой).

Также для гостевого бриджа прописан arp reply-only, а в DHCP добавлен add arp. Т.е. запрещаем использование статических IP.

Дополнительно в Routes > Rules прописаны встречные unreachable.

В настройках микрота отключены лишние сервисы, доступ к wwwssl и winbox разрешен только для 192.168.x

А теперь собственно сама суть моего вопроса. Насколько такая конфигурация безопасна? Насколько хорошо гости изолированы от основной сети? По идее, можно использовать чужой MAC и обойти Rules? Или я не прав? В основной сети есть файловый сервак, сервер 1С с RDP, видеорегистраторы и т.д. Крайне не хотелось бы, чтобы кто-то потенциально смог получить к ним доступ из гостевой подсети.

В vlan не разбираюсь вообще, боюсь как огня

 

Вы достаточно безопасно настроили. С помощью чужого мак не сможете получить доступ из гостевой сети в офисную.

 

Спасибо большое, ато уже пересмотрел все что только можно... с vlan нет желания связываться)

 

Добрый день!
Пробую собрать сеть. hEX gr3 (CAPsMAN) + hAP AC2 (CAP 1) + hAP AC2 (CAP 2 - сейчас отсутствует). канал в интернет 200/200. CAPsMAN соединен с CAP 1 кабелем cat5e. при подключении ноутбука проводом к CAP 1- скорость почти во всю ширину. при подключении AC не более 70/50. клиенты: макбук, айфон 6S, nokia 5. 5ггц - я один, других точек рядом нет. замер проводился в 5 метрах от точки до клиента, в одной комнате, без стен.

конфиг :

Спойлер

Код:

/caps-man export

/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=XX name=channel1 tx-power=17
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=XXXX name=channel2 tx-power=20

/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=no name=datapath1

/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm group-key-update=1h name=security1 passphrase=pa$$w0rd

/caps-man configuration
add channel=channel1 country=russia3 datapath=datapath1 distance=indoors guard-interval=any hw-protection-mode=rts-cts hw-retries=7 mode=ap multicast-helper=full name=cfg1 rx-chains=0,1,2 security=security1 \
    ssid="24" tx-chains=0,1,2
add channel=channel2 country=russia3 datapath=datapath1 distance=indoors guard-interval=any hw-protection-mode=rts-cts hw-retries=7 mode=ap multicast-helper=full name=cfg2 rx-chains=0,1,2 security=security1 \
    ssid="50" tx-chains=0,1,2

    /caps-man access-list
add action=accept allow-signal-out-of-range=10s disabled=no interface=any signal-range=-79..120 ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=any signal-range=-120..-80 ssid-regexp=""

/caps-man manager
set enabled=yes

/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=g,gn master-configuration=cfg1 name-format=prefix name-prefix=2.4G
add action=create-dynamic-enabled hw-supported-modes=a,an,ac master-configuration=cfg2 name-format=prefix name-prefix=5G
add master-configuration=cfg1
add master-configuration=cfg2

Подскажите, пожалуйста, может я что-то упустил?

 

Какая канальная скорость устанавливается между устройством и AP ?
Версия ROS ?

 

это какой столбик?
ros 6.42.5 на CAP и CAPsMAN

 

ну вот у клиента у которого 585 Мбит\с должно быть явно больше чем 70\50...
Версию ROS вижу. Firmware обновлен ? System-->Routerboard ?

 

да, Firmware тоже обновлен!


это замер макбука (wi-fi n 5ггц). в прошлом скрине он 3-й снизу (270/162).

и замер с айфона 6S (прикреплен) - первый в списке снизу.

 

Это типичная проблема устройств Apple, они вместо широкого канала используют узкие. Например 20 МГц для 2.4 ГГц и 40 МГц для 5 ГГц.
Неоднократно обсуждалось на форуме Ubiquiti... увы, это проблема самих яблочных устройств. Эдакий режим гибридного энергосбережения, при котором в добавок еще и MIMO-каналы частично отключаются.

Там где таблица и значения канальных скоростей - растяните колонку и посмотрите на ширину канала, Guard Interval и количество MIMO-каналов.
Должен быть SGI = Short Guard Interval и 2S = 2 Spatial Streams.
Если отображается 1S, значит устройство использует всего 1 канал.

Отображается в следующем виде:

ХХMbps-20MHz/1S - - - ширина канала 20 МГц, 1 поток, длинный защитный интервал

YYMbps-40MHz/2S/SGI - - - ширина 40 МГц, 2 потока, короткий защитный интервал

 

AlenRon, спасибо за информацию. 80MHz/2S вроде бы...

вчера пошаманил в настройках CAP. убрал адрес CAPsMAN, поставил слушать бридж. скорость возросла до 100/100!
настройка CAP была осуществлена из Quick Set. Может там какие настройки еще надо подкрутить?

 

о, как! Интересно. Надо попробовать.

 

system-reset-CAPS Mode - рекомендуемая MikroTik конфигурация AP

 

Денис Друженков, спасибо за совет! результаты меня удовлетворили.

для второй точки, как я понимаю, надо будет для каждой дать каналы, чтоб не пересекались?