- В этой статье опишу проект реализации бесшовной WiFi сети на базе оборудования Mikrotik. На текущий момент в компании используется разношерстное оборудование со своими SSID (vovchik, otdel kgc, brigada uh и прочие, сами понимаете для компании это не Комильфо)не вызывающее доверия и без намёка на защищённость.
Содержание статьи
- Техническое задание
- Описание объектов
- Список оборудования
- Настройка маршрутизатора
- Включение и настройка CAPsMAN
- Подключение точек доступа
- Вывод
Техническое задание
Задача организовать сеть WiFi в двух зданиях: Офис - 4 этажа и производство 2 этажа, общее количество сотрудников 200+.
В целях повышенной безопасности, решено пользователей выводить в интернет без доступа к сети.
Описание объектов
Офисное здание имеет длину около 50метров. Планируем по 2 точки доступа на этаж с учётом максимальной эффективной зоны покрытия
Производственное здание имеет длину около 50 метров, часть помещений имеет экранированную защиту по принципу свинцовой капсулы - не спрашивайте меня над чем мы трудимся. 1-й этаж 3 точки доступа, на втором 2.
Список оборудования
- Точки доступа Mikrotik Cap - 13шт.
- Маршрутизатор Mikrotik -1шт.
Настройка маршрутизатора
Первым делом обновите прошивку маршрутизатора и точек доступа
Видим версии пакетов, нажимаем проверить обновления.
После обновления пакетов в системе и перезагрузки устройства обновим саму прошивку системы.
Нажимаем Upgrade
С обновлением закончили.
- Создаем админскую учётную запись, дефолтную отключаем.
- Группа full
- Allowed address - Можно задать диапазон адресов, с которых можно подключаться с этой ученой записью.
После создания рекомендую дефолтную учетную запись admin отключить.
- Отключаем ненужные службы, свистелки и перделки в сеть.
В Winbox - Available From - прописываем ip или сети, откуда разрешен доступ к машрутизатору.
- Настройка сетевых интерфейсов и бриджей.
Прежде всего создайте два бриджа 1-й LAN - это ваша локальная сеть, 2-й WIFI - ваша беспроводная сеть и в разделе Ports добавьте порты в эти бриджи.
- Настройка пулов адресов и dhcp
- Типовая настройка файервола
- Настройка CAPsMAN
Включение и настройка CAPsMAN
Если вы успешно обновились до самой последней версии – обычно там уже все включено. Но для того, чтобы сократить лишние вопросы, нужно проверить, что модуль капсмэна был активирован.
Расположение: System – Packages – wireless-cm2 (в новых – просто wireless)
Активируем, перезагружаем, проверяем и переходим к непосредственной настройке.
Настройка модуля – управляющее устройство
Теперь идем в настройки нашего центрального роутера и начинаем остраивать наш контроллер.
- Включаем контроллер:
- Там же переходим во вкладочку Channels, и задаем некоторые параметры Wi-Fi сети (задаем наш канал):
- Datapaths – выбираем наш созданный мост:
- Security – задаем пароль нашей сети Wi-Fi:
- Configuration – Wireless – режим работы, SSID, каналы передачи:
- Configuration – Channel – задаем здесь наш созданный канал.
- Configuration – Datapath – задаем наш созданный ранее Datapath.
- Configuration – Security – задаем наш созданный ранее Т.е. этими вкладками соединяем все созданное ранее в единую конфигурацию.
- Возвращаемся на уровень выше: CAPsMAN – Provisioning. Здесь зададим конфигурации развертывания нашей общей сети.
Настройки контроллера завершены, остается перейти к точкам доступа.
Точка доступа – управляющее устройство
Одно дело, что наш роутер MikroTik выступает контроллером, но бонусом он еще может сам создать точку доступа и быть частью единой сети. Настройкой этой точки мы и займемся здесь. Т.к. точка доступа и контроллер расположены на одном устройстве, то настройки будут немного различаться. Поэтому выносим это все в отдельный раздел.
Меню: Wireless – CAP – включаем, задаем адрес сервер и выбираем наш мост:
Все, эта точка управляется контроллером CAPsMAn:
Точка доступа – клиенты
Теперь переходим к клиентам. Тоже ничего особенно сложного.
Внимание! Перед этой процедурой не забудьте выполнить подготовительные мероприятия (писал выше) – обновить прошивки, включить модуль, задать IP. Остальное все сделает наш CAP.
Настраиваем:
Меню: Wireless – CAP – включаем, но вместо задания IP сервера, просто передаем интерфейсы, через которые он буде тискать контроллер CAPsMAn:
В настройках появляется сообщение об успешной активации CAPsMAn:
Проверка
Самое простое, что можно сделать – зайти в наш управляющий роутер и в меню CAP посмотреть подключенные устройства. Выглядит это примерно так:
На этом можно статью и заканчивать. Если вы хотели создать на базе этой сети свои отдельные правила DHCP, NAT или завести сюда интернет – пришло самое время, но эта статья не об этом. Так что удачной настройки! Но если вдруг что-то пойдет не так, пишите комментарии.
Включить контроллер CAPsMAN
Настройка находится в CAPsMAN→CAP Interface→Manager
Upgrade Policy = require same version версия RouterOS точки доступа должна быть точно такой же как и версия прошивки контроллера CAPsMAN.
Рекомендация общей пришивки для всех CAPs устройств крайне желательна к применению, т.к. отличия в конфигурации CAPsMAN и точки доступа WiFi могут привести к нестабильной работе WiFi.
Определение частотных каналов CAPsMAN
- Frequency – список частотных каналов. В примере перечислены непересекающиеся каналы 1(2412), 6(2437) и 11(2462), только эти значение будет выбраны точками доступа WiFi. Такой подход обеспечит максимальную производительность на частоте 2.4 Ггц.
- Представленное сочетание Control Channel Width и Extension Channel позволить использовать всю ширину канала.
Настройка находится в CAPsMAN→Channels
Настройка CAPsMAN Datapath
Настройки Datapath управляют аспектами, связанными с пересылкой данных. Существует 2 основных режима переадресации:
- Local Forwarding – трафик, который будет приходить от клиента будет обрабатываться контроллером CAPsMAN(чек бокс не установлен) или самой точкой доступа(с активным чек боксом). Это можно применять для разгрузки центрального маршрутизатора, который помещает виртуальные интерфейсы, созданные CAPsMAN, в локальный бридж(Bridge). Local Forwarding не подходит для гостевой сети. В случае с гостевой сетью, параметр Local Forwarding минует бридж(Bridge) и тем самым обрабатывает пакет только на L2. Как следствие – процессор не задействуется и нельзя воспользоваться Firewall.
!!! Если параметр активирован, значение параметры Datapaths→Bridge будет игнорироваться.
- Client To Client Forwarding – разрешение обмена трафика между клиентами. Для примера: в гостевой сети необходимо запретить такой обмен, а вот в локальной сети – разрешить.
Настройка находится в CAPsMAN→Datapaths
Настройка пароля CAPsMAN
Настройка находится в CAPsMAN→Security Cfg.
Общая конфигурация CAPsMAN
В этом разделе нужно добавить две отдельные конфигурации, но суть их в одном – указать ссылки на произведенные ранее настроить в разделах Channels, Datapaths, Security Cfg. Будет рассмотрена конфигурация для частоты 2,4ГГц, а 5ГГц, настраивается по абсолютной аналогии.
Если при подключении точки доступа к CAPsMAN выводится ошибка country does not match locked, параметр Country следует оставить пустым.
Настройка находится в CAPsMAN→Configurations
CAPsMAN Provisioning, распространение конфигурации на точки доступа
Для каждого WiFi модуля точки доступа, который совпадёт по параметру hw-supported-modes будет применена конфигурация, указанная в Master Configuration.
Action – действия, которые следует предпринять, если совпадения правил указаны следующими параметрами:
- create-disabled – создавать отключенные статические интерфейсы для radio. То есть интерфейсы будут привязаны к radio, но raio не будет работать до тех пор, пока интерфейс не будет включен вручную;
- create-enabled — создавать включенные статические интерфейсы. То есть интерфейсы будут привязаны к radio и радио будет работать;
- create-dynamic-enabled — создавать разрешенные динамические интерфейсы. То есть интерфейсы будут привязаны к radio, и radio будет работать;
- none – ничего не делать, оставить radio в неподготовленном состоянии.
name-format – указать синтаксис создания имени интерфейса CAP:
- cap – имя по умолчанию;
- identity – имя системного удостоверения CAP boards;
- prefix – имя из значения префикса имени;
- prefix-identity – имя из значения префикса имени и имени системного идентификатора CAP boards.
Настройка находится в CAPsMAN→Provisioning
/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=XX \
frequency=2412,2437,2462 name=2G
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=XXXX name=\
5G
/caps-man datapath
add client-to-client-forwarding=yes local-forwarding=yes name=Datapath
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
group-key-update=20m name=Security passphrase=11223344
/caps-man configuration
add channel=2G country=no_country_set datapath=Datapath installation=any \
mode=ap name=2G rx-chains=0,1,2,3 security=Security ssid=Home tx-chains=\
0,1,2,3
add channel=5G country=no_country_set datapath=Datapath installation=any \
mode=ap name=5G rx-chains=0,1,2,3 security=Security ssid=Home tx-chains=\
0,1,2,3
/caps-man manager set enabled=yes upgrade-policy=require-same-version
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
5G name-format=prefix-identity name-prefix=5G
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
2G name-format=prefix-identity name-prefix=2G
Подключение к MikroTik CAPsMAN
После того, как будет проделаны все настройки, нужно перейти к настройке самой точки доступа, как правило это или отдельное устройство или WiFi модуль на самом роутере.
Версия прошивки RouterOS точки доступа должна быть точно такой же как и на контроллере WiFi CAPsMAN. Как обновить прошивку в MikroTik →
Первый делом нужно сбросить настройки точки доступа WiFi к пустой конфигурации. Это нужно применить только для подключаемой точки доступа WiFi!
Создание Bridge на точке доступа
Параметр Admin. MAC Address следует скопировать с параметра MAC Address и если точка доступа в сети не одна, необходимо контролировать его уникальность. Т.е. если MAC Address будет совпадать MAC Address другой точки доступа, проще всего создать ещё один Bridge, у которого будет уже другой MAC Address.
Настройка находится в Bridge→Bridge
Добавление портов в Bridge для точки доступа
В Bridge нужно добавить все Ethernet порты.
Настройка находится в Bridge→Ports
Присвоить идентификатор для точки доступа
Это признак отличия позволит лучше ориентироваться среди списка подключаемого оборудования, а также мониторинге подключаемых WiFi клиентов, таких как смартфон или ноутбук.
Настройка находится в System→Identity
Подключить точку доступа к CAPsMAN
Это завершающий этап, где
- Interfaces – интерфейсы WiFi, которые подключатся к CAPsMAN;
- Discovery Interfaces – интерфейс, на котором через broadcast будет совершён поиск CAPsMAN;
- Bridge – указан локальный Bridge, в который динамически будут давлены интерфейсы точки доступа.
Настройка находится в Wireless→WiFi Interfaces
/interface bridge
add admin-mac=02:F1:41:46:46:E2 auto-mac=no name=Bridge-LAN
/interface wireless
# managed by CAPsMAN
# channel: 2462/20-eC/gn(28dBm), SSID: Home, CAPsMAN forwarding
set [ find default-name=wlan1 ] ssid=MikroTik station-roaming=enabled
# managed by CAPsMAN
# channel: 5200/20-eCee/ac(14dBm), SSID: Home, CAPsMAN forwarding
set [ find default-name=wlan2 ] ssid=MikroTik station-roaming=enabled
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=Bridge-LAN interface=ether1
add bridge=Bridge-LAN interface=ether2
/interface wireless cap
set bridge=Bridge-LAN discovery-interfaces=Bridge-LAN enabled=yes interfaces=\
wlan1,wlan2
/ip dhcp-client
add disabled=no interface=Bridge-LAN
/system identity
set name=MikroTik-AP-3
/system scheduler
add name=Auto-Upgrade-Firmware on-event="if ([/system routerboard get current-\
firmware] != [/system routerboard get upgrade-firmware]) do={\r\
\n/system routerboard upgrade\r\
\n:delay 15s\r\
\n/system reboot\r\
\n}" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-time=startup
/tool romon
set enabled=yes
Успешное подключение точки доступа выглядит так
А список CAP интерфейсов на контроллере CAPsMAN будет отображать все подключенные radio модули
Список подключенных клиентов будет иметь соответствующий вид
По данному списку легко просмотреть к какой из точек подключен клиент, а также уровень сигнала, который может указать на возможные проблемы со скоростью.
Обновление настроек MikroTik CAPsMAN для подключенных точек доступа WiFi
Изменения настроек CAPsMAN будет автоматически применены на подключенных точках доступа WiFi. Если этого не произошло, такое обновление можно вызвать ручным методом.
Правило MikroTik CAPsMAN для бесшовного роуминга
Термин бесшовный роуминг следует взять в “”, т.к. он не соответствует действительности. Оборудование MikroTik на данный момент не поддерживает технологию бесшовного роуминга, т.е. ни контроллер CAPsMAN ни точка доступа WiFi не занимаются переключением клиента во время миграции от одной точки доступа к другой. Все эти процессы ложатся на самого WiFi клиента, а MikroTik обеспечивает лишь быстрое переключение, тем самым сокращая потерю сигнала. Быстрый роуминг достигается добавлением правила, в котором указывается, что если у клиента слабый сигнал его нужно отключить. Это способствует повторному подключению клиента к более мощной WiFi точке.
ВАЖНО!!! Часто это правило может быть причиной лишнего обращения в службу поддержки, т.к. 1Мб со стороны клиента это лучше, чем неудачная попытка подключиться к точке доступа с уровнем сигнала ниже -85dbi.
add action=reject allow-signal-out-of-range=10s disabled=no interface=all \
signal-range=-120..-85 ssid-regexp=""
Настройка гостевого WiFi в CAPsMAN MikroTik
Гостевая сеть в современной сетевой инфраструктуре может решать ряд задач:
- Упрощённый(быстрый) доступ к интернету: запоминающий(лёгкий) пароль, нет необходимости создавать список устройств для доступа с привязкой по MAC адресу;
- Ограничения по совместному доступу для устройств таких как смартфоны и ноутбук. Если пользователю WiFi устройства достаточно только выхода в Интернет, нет необходимости открывать ему всю сеть. Подобные ограничения не только защищают корпоративную или частную сети, но и также препятствует горизонтальному распространению нежелательного ПО(вирусы);
- Ограничение по скорости, времени доступа и тд.
Настройка гостевого WiFi для CAPsMAN будет состоять из параллельной настройки конфигурации для гостевой сети, дополнительным правилам Firewall, а также ограничения по скорости.
Со стороны точки доступа WiFi ни каких дополнительных настроек производить не нужно! Применённая ниже конфигурация добавит динамические интерфейсы для гостевого WiFi автоматически. Так выглядит CAP Interface в инфраструктуре, где присутствует локальная сеть(LAN) и гостевая WiFi.
Итак приступим.
Первым делом будет создан Bridge, в который будут помещены виртуальные интерфейсы точек доступа WiFi. Данный Bridge будет также иметь отдельную адресацию, которая позволит в полной мере не только отделить пользователей гостевой WiFi, но и также полноценно описать любого рода ограничения.
Создание Bridge для гостевой WiFi
Настройка находится в Bridge→Bridge
Настройка Datapath для гостевой WiFi
Клиенты гостевого WiFi не будут иметь возможности общаться друг с другом, за таким поведение следит параметр Client To Client Forwarding.
Настройка находится в CAPsMAN→Datapaths
Настройка пароля для гостевой WiFi
Рекомендуется создавать простые пароли, чтобы пользователи гостевой сети могли с лёгкость ввести пароль для WiFi.
Настройка находится в CAPsMAN→Security Cfg.
Общая конфигурация для гостевой WiFi
В разделе Configurations необходимо по указать ранее созданные Datapath и Security, а также определить имя гостевой WiFi сети.
Настройка находится в CAPsMAN→Configurations
Настройка Provisioning для гостевой WiFi
Конфигурации гостевой WiFi сети следует указать как Slave Configuration, для Provisioning частоты 2G и 5G.
Настройка находится в CAPsMAN→Provisioning
/interface bridge
add admin-mac=1A:F2:12:3E:E7:31 auto-mac=no name=Bridge-Guest
/caps-man datapath
add bridge=Bridge-Guest name=Datapath-Guest
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
group-key-update=1h name=Security-Guest passphrase=XXXXYYYY
/caps-man configuration
add datapath=Datapath-Guest \
name=Guest security=Security-Guest ssid=W8_Guest
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
2G name-format=prefix-identity name-prefix=2G slave-configurations=Guest
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
5G name-format=prefix-identity name-prefix=5G slave-configurations=Guest
На этом настройка CAPsMAN завершена и можно переходить к настройке сети для гостевого WiFi.
Настройка сети для гостевого WiFi в CAPsMAN MikroTik
Ниже будет произведена настройка адресации для гостевого WiFi, по аналогии как это сделано в базовой конфигурации для сети типа LAN.
Настройка IP адреса для Bridge guest
Настройка находится в IP→Addresses
Настройка DHCP сервера для гостевого WiFi
Настройка находится в IP→DHCP Server
Настройка DNS сервера для гостевого WiFi
Использование роутера MikroTik в качестве DNS сервера является абсолютно оправданным решением. Это не будет иметь угрозы со стороны безопасности, но и также позволит экономить и управлять DNS запросами.
Настройка находится в IP→DNS
/ip pool
add name=Ip-Pool-Guest ranges=174.16.0.100-174.16.0.254
/ip dhcp-server
add address-pool=Ip-Pool-Guest disabled=no interface=Bridge-Guest lease-time=\
4h name=DHCP-Guest
/ip address
add address=174.16.0.1/24 interface=Bridge-Guest network=174.16.0.0
/ip dhcp-server network
add address=174.16.0.0/24 dns-server=174.16.0.1 gateway=174.16.0.1 netmask=24
/ip dns
set allow-remote-requests=yes
Настройка Firewall для гостевого WiFi в CAPsMAN MikroTik
Принцип настройки Firewall для гостевого WiFi будет сводиться к тому, что пользователю гостевого WiFi будет разрешен доступ только в интернет(+ локальные DNS запросы к роутеру MikroTik), а все остальные направления будут запрещены.
Настройка Firewall для гостевого WiFi
Настройки Firewall для гостевого WiFi следует располагать выше правил типа drop для интерфейсов !LAN.
Настройка находится в IP→Firewall
/ip firewall filter
add action=accept chain=forward comment=Guest-WiFi in-interface=Bridge-Guest \
out-interface-list=WAN
add action=accept chain=input dst-port=53 in-interface=Bridge-Guest protocol=\
udp
add action=drop chain=forward in-interface=Bridge-Guest
add action=drop chain=input in-interface=Bridge-Guest
Ограничение скорости для гостевого WiFi в CAPsMAN MikroTik
Чтобы пользователи гостевого WiFi не имели существенного влияния на производительность основной сети, можно обратиться к такому инструменту как ограничение скорости.
Первым делом нужно проконтролировать статус правила Firewall такого как Faststrack connection и отключить его. Причина отключения Faststrack connection в Firewall в том, что правило позволяет миновать раздел Queues, который как раз занимается очередями и будет контролировать ограничение скорости для пользователей гостевого WiFi.
Отключение Faststrack connection
Настройка находится в IP→Firewall
Настройка ограничение скорости для гостевого WiFi
- Target – указать подсеть, к которой будут применяться ограничения по скорости;
- Dst. – исходящий Интернет интерфейс;
- Max. Limit – лимит по скорости.
Настройка находится в Queuses→Simple Queues
/queue simple
add dst=ether1 max-limit=10M/10M name=Queue-Guest-WiFi target=174.16.0.0/24