Андрей Смирнов
Время чтения: ~25 мин.
Просмотров: 5

Capsman: настройки, оборудование, назначение и применение

CAPs

/interface wireless cap
set discovery-interfaces=ether1 enabled=yes interfaces=wlan1

After CAPs are successfully connected to the CAPsMAN Router, two CAP interfaces will be dynamically created on the CAPsMAN Router. Both of these interfaces will get dynamically added as bridge ports on the same CAPsMAN Router due to explicitly selecting the bridge interface with datapath.bridge=bridge1 and using the default CAPsMAN Forwarding Mode datapath.local-forwarding=no. Because of using a bridge with enabled vlan-filtering, both CAP interfaces will also show up in a bridge VLAN table.

 /interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic, H - hw-offload 
 #     INTERFACE                       BRIDGE                      HW  PVID PRIORITY  PATH-COST INTERNAL-PATH-COST    HORIZON
 0     ether1                          bridge1                     yes   10     0x80         10                 10       none
 1     ether2                          bridge1                     yes   20     0x80         10                 10       none
 2  D  cap16                           bridge1                           10     0x80         10                 10       none
 3  D  cap17                           bridge1                           20     0x80         10                 10       none
 /interface bridge vlan print
Flags: X - disabled, D - dynamic 
 #   BRIDGE                         VLAN-IDS  CURRENT-TAGGED                         CURRENT-UNTAGGED                        
 0 D bridge1                        1                                                bridge1                                 
 1   bridge1                        10        cap16                                  ether1                                  
 2   bridge1                        20        cap17                                  ether2  

That is it! Connect Wireless clients to your APs and check connectivity.

Настройка контроллера MikroTik CAPsMAN

Как настроить роутер MikroTik для раздачи интернета мы останавливаться не будем. Это подробно описано в статье Простая настройка MikroTik с помощью QuickSet. Переходим к настройке CAPsMAN.

Сначала активируем CAPsMAN:

  1. Откройте меню CAPsMAN и перейдите на вкладку Interfaces.
  2. Нажмите кнопку Manager.
  3. В появившемся окне поставьте галочку Enable.
  4. Нажмите кнопку OK.

Выполняем настройку Wi-Fi канала:

  1. Перейдите на вкладку Channels.
  2. Нажмите синий плюсик.
  3. В появившемся окне в поле Name укажите название канала. Я назвал его channel2, поскольку он будет для частоты 2,4ГГц. Для частоты 5ГГц я буду использовать название channel5.
  4. В поле Width можете указать ширину канала 20Mhz. Ширина 40Mhz и 80Mhz пока не поддерживается. Мы оставили это поле пустым.
  5. В поле Band укажите стандарты, в которых будет работать Wi-Fi точка. Для большей совместимости ставим стандарты b/g/n.
  6. В поле Extension Channel указывается, в какую сторону от указанной частоты будет распределяться наш канал. Мы оставили это поле пустым.
  7. В поле Tx Power укажите выходную мощность Wi-Fi, например, 20 dBm (100 мВт). Оставлять это поле пустым не желательно, поскольку в этом случае устройства будут работать на максимальной мощности, а это нужно далеко не всегда.
  8. Нажмите кнопку OK.

У нас двухдиапазонные устройства, поэтому аналогичным образом настраиваем Wi-Fi канал для частоты 5ГГц. Если ваши устройства поддерживают только 2,4ГГц, то пропустите данный шаг.

В итоге получаем два канала: channel2 и channel5.

Настраиваем пароль для подключения к Wi-Fi сети:

  1. Перейдите на вкладку Security Cfg.
  2. Нажмите синий плюсик.
  3. В появившемся окне в поле Name укажите название профиля. Мы оставили без изменения security1.
  4. В поле Autentification Type укажите типа авторизации WPA2 PSK.
  5. В Encryption выберите алгоритм aes ccm.
  6. В списке Group Encryption выберите алгоритм aes ccm.
  7. В поле Passphrase введите пароль для подключения к Wi-Fi точке.
  8. Нажмите кнопку OK.

Настраиваем режим обработки данных Datapaths:

  1. Перейдите на вкладку Datapaths
  2. Нажмите синий плюсик.
  3. В поле Name оставляем имя без изменения datapath1.
  4. В списке Bridge выберите бридж интерфейс.
  5. В поле Local Forwarding ничего не указываем, чтобы наша система работала в режиме Manager Forwarding Mode. Пару слов об этих режимах.В режиме Local Forwarding Mode обработка и перенаправление данных клиентов осуществляется непосредственно на Wi-Fi точках доступа, а не на роутере.В режиме Manager Forwarding Mode все данные клиентов передаются на роутер, где производится их обработка. В этом случае CAPsMAN полностью контролирует перенаправление данных, включая обмен данными между клиентами. Мне этот режим больше понравился, но он создает больше нагрузку на сеть и роутер.
  6. Поставьте галочку Client To Client Forwarding, чтобы разрешить клиентам обмениваться данными друг с другом.
  7. Нажмите OK.

Создаем новую конфигурацию для частоты 2,4ГГц.

  1. Перейдите на вкладку Configurations.
  2. Нажмите синий плюсик.
  3. В появившемся окне на вкладке Wireless в поле Name укажите название конфигурации cfg2.
  4. В списке Mode выберите режим работы ap — точка доступа.
  5. В поле SSID укажите название Wi-Fi точки, например, mikrotik2.
  6. Поставьте все галочки напротив HT Tx Chains и HT Rx Chains.

Перейдите на вкладку Channel и в списке Channel выберите наш канал на 2,4ГГц под названием channel2.

Перейдите на вкладку Datapath и выберите datapath1.

Перейдите на вкладку Security, укажите наш профиль безопасности security1 и нажмите кнопку OK.

По аналогии создайте новую конфигурацию для частоты 5ГГц. Если ваши устройства не поддерживают 5ГГц, то пропустите этот шаг.

В итоге получаем две конфигурации для 2,4 и 5ГГц.

Теперь необходимо настроить параметры развертывания Provisioning для частоты 2,4ГГц.

  1. Откройте вкладку Provisioning.
  2. Нажмите синий плюсик.
  3. В списке Hw. Supported Modes выберите стандарты gn. Это означает, что указанная конфигурация будет применяться для устройств с поддержкой g и n стандартов, т.е. работающих на частоте 2,4ГГц.
  4. В списке Action выберите create dynamic enabled, чтобы в контроллере CAPsMAN автоматически создавались интерфейсы подключаемых точек.
  5. В списке Master Configuration выберите конфигурацию для 2,4ГГц, т.е. cfg2.
  6. Нажмите OK.

Добавьте второе правило развертывания для частоты 5ГГц.

  1. Нажмите синий плюсик.
  2. В списке Hw. Supported Modes выберите стандарты an. Это означает, что указанная конфигурация будет применяться для устройств поддерживающих a и n стандарты, т.е. работающих на 5ГГц.
  3. В списке Action выберите create enabled.
  4. В списке Master Configuration выберите конфигурацию для 5ГГц, т.е. cfg5.
  5. Нажмите OK.

Mesh Properties

Property Description
admin-mac (MAC address; Default: 00:00:00:00:00:00) administratively assigned MAC address, used when auto-mac setting is disabled
arp (disabled | enabled | proxy-arp | reply-only; Default: enabled) Address Resolution Protocol setting
auto-mac (boolean; Default: no) if disabled, then value from admin-mac will be used as the MAC address of the mesh interface; else address of some port will be used if ports are present
hwmp-default-hoplimit (integer: 1..255; Default: ) maximum hop count for generated routing protocol packets; after a HWMP+ packet is forwarded «hoplimit» times, it is dropped
hwmp-prep-lifetime (time; Default: 5m) lifetime for routes created from received PREP or PREQ messages
hwmp-preq-destination-only (boolean; Default: yes) whether only destination can respond to HWMP+ PREQ message
hwmp-preq-reply-and-forward (boolean; Default: yes) whether intermediate nodes should forward HWMP+ PREQ message after responding to it. Useful only when hwmp-preq-destination-only is disabled
hwmp-preq-retries (integer; Default: 2) how many times to retry a route discovery to a specific MAC address before the address is considered unreachable
hwmp-preq-waiting-time (time; Default: 4s) how long to wait for a response to the first PREQ message. Note that for subsequent PREQs the waiting time is increased exponentially
hwmp-rann-interval (time; Default: 10s) how often to send out HWMP+ RANN messages
hwmp-rann-lifetime (time; Default: 1s) lifetime for routes created from received RANN messages
hwmp-rann-propagation-delay (number; Default: 0.5) how long to wait before propagating a RANN message. Value in seconds
mesh-portal (boolean; Default: no) whether this interface is a portal in the mesh network
mtu (number; Default: 1500) maximum transmission unit size
name (string; Default: ) interface name
reoptimize-paths (boolean; Default: no) whether to send out periodic PREQ messages asking for known MAC addresses. Turing on this setting is useful if network topology is changing often. Note that if no reply is received to a reoptimization PREQ, the existing path is kept anyway (until it timeouts itself)

Port Properties

Property Description
active-port-type (read-only: wireless | WDS | ethernet-mesh | ethernet-bridge | ethernet-mixed; Default: ) port type and state actually used
hello-interval (time; Default: 10s) maximum interval between sending out HWMP+ Hello messages. Used only for Ethernet type ports
interface (interface name; Default: ) interface name, which is to be included in a mesh
mesh (interface name; Default: ) mesh interface this port belongs to
path-cost (integer: 0..65535; Default: 10) path cost to the interface, used by routing protocol to determine the ‘best’ path
port-type (WDS | auto | ethernet | wireless; Default: ) port type to use
  • auto — port type is determined automatically based on the underlying interface’s type
  • WDS — a Wireless Distribution System interface. Remote MAC address is learnt from wireless connection data
  • ethernet — Remote MAC addresses are learnt either from HWMP+ Hello messages or from source MAC addresses in received or forwarded traffic
  • wireless — Remote MAC addresses are learnt from wireless connection data

Технологии и стандарты

Вернемся теперь к самому процессу переключения между точками доступа. В стандартной ситуации клиент будет максимально долго (насколько это возможно) поддерживать существующую ассоциацию с точкой доступа. Ровно до тех пор, пока уровень сигнала позволяет это делать. Как только возникнет ситуация, что клиент более не может поддерживать старую ассоциацию, запустится процедура переключения, описанная ранее. Однако handover не происходит мгновенно, для его завершения обычно требуется более 100 мс, а это уже заметная величина. Существует несколько стандартов управления радиоресурсами рабочей группы IEEE 802.11, направленных на улучшение времени повторного подключения к беспроводной сети: k, r и v. В нашей линейке Auranet поддержка 802.11k реализована на точке доступа CAP1200, а в линейке Omada на точках доступа EAP225 и EAP225-Outdoor реализованы протоколы 802.11k и 802.11v.
 

802.11k

Данный стандарт позволяет беспроводной сети сообщать клиентским устройствам список соседних точек доступа и номеров каналов, на которых они работают. Сформированный список соседних точек позволяет ускорить поиск кандидатов для переключения. Если сигнал текущей точки доступа ослабевает (например, клиент удаляется), устройство будет искать соседние точки доступа из этого списка.
 

802.11r

Версия r стандарта определяет функцию FT — Fast Transition (Fast Basic Service Set Transition — быстрая передача набора базовых служб), позволяющую ускорить процедуру аутентификации клиента. FT может использоваться при переключении беспроводного клиента с одной точки доступа на другую в рамках одной сети. Могут поддерживаться оба метода аутентификации: PSK (Preshared Key — общий ключ) и IEEE 802.1Х. Ускорение осуществляется за счет сохранения ключей шифрования на всех точках доступа, то есть клиенту не требуется при роуминге проходить полную процедуру аутентификации с привлечением удаленного сервера.
 

802.11v

Данный стандарт (Wireless Network Management) позволяет беспроводным клиентам обмениваться служебными данными для улучшения общей производительности беспроводной сети. Одной из наиболее используемых опций является BTM (BSS Transition Management).
Обычно беспроводной клиент измеряет параметры своего подключения к точке доступа для принятия решения о роуминге. Это означает, что клиент не имеет информации о том, что происходит с самой точкой доступа: количество подключенных клиентов, загрузка устройства, запланированные перезагрузки и т. д. С помощью BTM точка доступа может направить запрос клиенту на переключение к другой точке с лучшими условиями работы, пусть даже с несколько худшим сигналом. Таким образом, стандарт 802.11v не направлен непосредственно на ускорение процесса переключения клиентского беспроводного устройства, однако в сочетании с 802.11k и 802.11r обеспечивает более быструю работу программ и повышает удобство работы с беспроводными сетями Wi-Fi.
 

Step #1, setup router

Router

Get an IP address from WAN (or add a static IP address)

/ip dhcp-client
add disabled=no interface=ether1

Create a bridge and add bridge ports to it

/interface bridge
add name=bridge
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5

Add an IP address to the bridge

/ip address
add address=192.168.88.1/24 interface=bridge

Setup DHCP Server

/ip pool
add name=pool1 ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=pool1 disabled=no interface=bridge
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=8.8.8.8 gateway=192.168.88.1

Setup NAT on your router

/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface=ether1

Note: You can skip these steps in case you have reset your device to defaults, these steps were only required for devices with no configuration at all (empty config).

Настройка контроллера MikroTik CAPsMAN

Как настроить роутер MikroTik для раздачи интернета мы останавливаться не будем. Это подробно описано в статье Простая настройка MikroTik с помощью QuickSet. Переходим к настройке CAPsMAN.

Сначала активируем CAPsMAN:

  1. Откройте меню CAPsMAN и перейдите на вкладку Interfaces.
  2. Нажмите кнопку Manager.
  3. В появившемся окне поставьте галочку Enable.
  4. Нажмите кнопку OK.

Выполняем настройку Wi-Fi канала:

  1. Перейдите на вкладку Channels.
  2. Нажмите синий плюсик.
  3. В появившемся окне в поле Name укажите название канала. Я назвал его channel2, поскольку он будет для частоты 2,4ГГц. Для частоты 5ГГц я буду использовать название channel5.
  4. В поле Width можете указать ширину канала 20Mhz. Ширина 40Mhz и 80Mhz пока не поддерживается. Мы оставили это поле пустым.
  5. В поле Band укажите стандарты, в которых будет работать Wi-Fi точка. Для большей совместимости ставим стандарты b/g/n.
  6. В поле Extension Channel указывается, в какую сторону от указанной частоты будет распределяться наш канал. Мы оставили это поле пустым.
  7. В поле Tx Power укажите выходную мощность Wi-Fi, например, 20 dBm (100 мВт). Оставлять это поле пустым не желательно, поскольку в этом случае устройства будут работать на максимальной мощности, а это нужно далеко не всегда.
  8. Нажмите кнопку OK.

У нас двухдиапазонные устройства, поэтому аналогичным образом настраиваем Wi-Fi канал для частоты 5ГГц. Если ваши устройства поддерживают только 2,4ГГц, то пропустите данный шаг.

В итоге получаем два канала: channel2 и channel5.

Настраиваем пароль для подключения к Wi-Fi сети:

  1. Перейдите на вкладку Security Cfg.
  2. Нажмите синий плюсик.
  3. В появившемся окне в поле Name укажите название профиля. Мы оставили без изменения security1.
  4. В поле Autentification Type укажите типа авторизации WPA2 PSK.
  5. В Encryption выберите алгоритм aes ccm.
  6. В списке Group Encryption выберите алгоритм aes ccm.
  7. В поле Passphrase введите пароль для подключения к Wi-Fi точке.
  8. Нажмите кнопку OK.

Настраиваем режим обработки данных Datapaths:

  1. Перейдите на вкладку Datapaths
  2. Нажмите синий плюсик.
  3. В поле Name оставляем имя без изменения datapath1.
  4. В списке Bridge выберите бридж интерфейс.
  5. В поле Local Forwarding ничего не указываем, чтобы наша система работала в режиме Manager Forwarding Mode. Пару слов об этих режимах.В режиме Local Forwarding Mode обработка и перенаправление данных клиентов осуществляется непосредственно на Wi-Fi точках доступа, а не на роутере.В режиме Manager Forwarding Mode все данные клиентов передаются на роутер, где производится их обработка. В этом случае CAPsMAN полностью контролирует перенаправление данных, включая обмен данными между клиентами. Мне этот режим больше понравился, но он создает больше нагрузку на сеть и роутер.
  6. Поставьте галочку Client To Client Forwarding, чтобы разрешить клиентам обмениваться данными друг с другом.
  7. Нажмите OK.

Создаем новую конфигурацию для частоты 2,4ГГц.

  1. Перейдите на вкладку Configurations.
  2. Нажмите синий плюсик.
  3. В появившемся окне на вкладке Wireless в поле Name укажите название конфигурации cfg2.
  4. В списке Mode выберите режим работы ap — точка доступа.
  5. В поле SSID укажите название Wi-Fi точки, например, mikrotik2.
  6. Поставьте все галочки напротив HT Tx Chains и HT Rx Chains.

Перейдите на вкладку Channel и в списке Channel выберите наш канал на 2,4ГГц под названием channel2.

Перейдите на вкладку Datapath и выберите datapath1.

Перейдите на вкладку Security, укажите наш профиль безопасности security1 и нажмите кнопку OK.

По аналогии создайте новую конфигурацию для частоты 5ГГц. Если ваши устройства не поддерживают 5ГГц, то пропустите этот шаг.

В итоге получаем две конфигурации для 2,4 и 5ГГц.

Теперь необходимо настроить параметры развертывания Provisioning для частоты 2,4ГГц.

  1. Откройте вкладку Provisioning.
  2. Нажмите синий плюсик.
  3. В списке Hw. Supported Modes выберите стандарты gn. Это означает, что указанная конфигурация будет применяться для устройств с поддержкой g и n стандартов, т.е. работающих на частоте 2,4ГГц.
  4. В списке Action выберите create dynamic enabled, чтобы в контроллере CAPsMAN автоматически создавались интерфейсы подключаемых точек.
  5. В списке Master Configuration выберите конфигурацию для 2,4ГГц, т.е. cfg2.
  6. Нажмите OK.

Добавьте второе правило развертывания для частоты 5ГГц.

  1. Нажмите синий плюсик.
  2. В списке Hw. Supported Modes выберите стандарты an. Это означает, что указанная конфигурация будет применяться для устройств поддерживающих a и n стандарты, т.е. работающих на 5ГГц.
  3. В списке Action выберите create enabled.
  4. В списке Master Configuration выберите конфигурацию для 5ГГц, т.е. cfg5.
  5. Нажмите OK.

Mesh fdb Status

Sub-menu:

Properties:

Property Description
mac-address (MAC address) MAC address corresponding for this FDB entry
seq-number (integer) sequence number used in routing protocol to avoid loops
type (integer) sequence number used in routing protocol to avoid loops
interface (local | outsider | direct | mesh | neighbor | larval | unknown) type of this FDB entry
  • local — MAC address belongs to the local router itself
  • outsider — MAC address belongs to a device external to the mesh network
  • direct — MAC address belongs to a wireless client on an interface that is in the mesh network
  • mesh — MAC address belongs to a device reachable over the mesh network; it can be either internal or external to the mesh network
  • neighbor — MAC address belongs to a mesh router that is direct neighbor to this router
  • larval — MAC address belongs to an unknown device that is reachable over the mesh network
  • unknown — MAC address belongs to an unknown device
mesh (interface name) the mesh interface this FDB entry belongs to
on-interface (interface name) mesh port used for traffic forwarding, kind of a next-hop value
lifetime (time) time remaining to live if this entry is not used for traffic forwarding
age (time) age of this FDB entry
metric (integer) metric value used by routing protocol to determine the ‘best’ path

Настройка переключения интернет каналов между двумя провайдерами

Для настройки переключения интернет каналов между двумя провайдерами будем использовать маршруты (Routes) и встроенную утилиту Netwatch.

У нас будет два маршрута, через которые может идти интернет трафик. Весь трафик будет идти по умолчанию через 1-го провайдера.

Если вдруг пропадет связь с 1-ым провайдером, то мы активируем 2-ой маршрут, и весь трафик пойдет через 2-го провайдера.

Как только восстановится связь через 1-го провайдера, мы деактивируем 2-ой маршрут, и весь трафик пойдет через 1-го провайдера.

Утилита Netwatch поможет пинговать ip-адрес в интернете и выполнять скрипты, если ip-адрес перестал пинговаться или снова начал. Она будет выполнять активацию и деактивацию маршрута.

Сначала удалим маршрут через первого провайдера, который создался автоматически, поскольку мы не можем редактировать его свойства.

  1. Откройте меню IP — Routes;
  2. Кликните левой кнопкой мыши по маршруту первого провайдера со шлюзом 10.10.10.1 unrechable;
  3. Нажмите кнопку удалить (красный минус).

Теперь изменим параметры маршрута второго провайдера:

  1. Сделайте двойной щелчок левой кнопкой мыши по маршруту второго провайдера;
  2. В поле Gateway должен быть указан шлюз второго провайдера 20.20.20.1;
  3. В поле Distance ставим приоритет 2;
  4. Нажмите кнопку Comment;
     
  5. В поле напишите комментарий ISP2. Комментарий необходим для того, чтобы наши скрипты могли идентифицировать маршрут и активировать или деактивировать его.
  6. Нажмите кнопку OK и в следующем окне еще раз OK.
     
  7. Выберите маршрут второго провайдера, кликнув по нему левой кнопкой мыши, и деактивируйте, нажав кнопку с красным крестиком. После этого маршрут станет серого цвета.

Дальше нужно добавить маршрут первого провайдера заново, но прежде определим, какой IP-адрес шлюза выдает первый провайдер.

  1. Откройте меню IP — DHCP Client;
  2. Сделайте двойной щелчок левой кнопкой мыши на интерфейсе ether1;
  3. Перейдите на вкладку Status;
  4. Выпишите IP-адрес шлюза из поля Gateway. Он будет нужен при создании маршрута через первого провайдера.

Теперь добавляем маршрут через первого провайдера:

  1. Откройте меню IP — Routes;
  2. Нажмите кнопку добавить (синий плюсик);
  3. В поле Gateway укажите шлюз первого провайдера 10.10.10.1;
  4. В поле Distance ставим приоритет 3;
  5. Нажмите Comment;

     

  6. В поле напишите комментарий ISP1.
  7. Нажмите кнопку OK и еще раз OK в следующем окне.

3-й маршрут понадобится для того, чтобы сервер Google по умолчанию пинговался только через 1-го провайдера.

  1. Нажмите кнопку добавить (синий плюсик);
  2. В поле Dst. Address укажите IP-адрес сервера Google 8.8.4.4;
  3. В поле Gateway укажите шлюз первого провайдера 10.10.10.1;
  4. В поле Distance ставим приоритет 1;
  5. Нажмите Comment;
     
  6. Напишите комментарий .
  7. Нажмите кнопку OK и еще раз OK.

Также добавим в Firewall правило, которое запретит пинговать ip-адрес 8.8.4.4 через 2-го провайдера. Иначе утилита Netwatch подумает, что связь с 1-ым провайдером восстановилась, и будет постоянно переключать маршруты по кругу.

  1. Откройте меню IP — Firewall и перейдите на вкладку Filter Rules;
  2. Нажмите кнопку добавить (синий плюсик);
  3. В списке Chain выберите Output;
  4. В поле Dst. Address введите адрес сервера 8.8.4.4;
  5. В списке Out. Interface выберите ether2;
  6. Перейдите на вкладку Action;
     
  7. В списке Action выберите Drop;
  8. Нажмите кнопку OK.

Netwatch будет проверять связь с интернетом путем пингования сервера Google с IP-адресом 8.8.4.4. Как только сервер перестанет пинговаться, выполнится скрипт, который активирует 2-й маршрут и трафик пойдет через 2-го провайдера. Как только связь через 1-го провайдера восстановится, то выполнится другой скрипт, который деактивирует 2-й маршрут и трафик пойдет через 1-го провайдера.

  1. Откройте меню Tools — Netwatch;
  2. Нажмите кнопку добавить (синий плюсик);
  3. В поле Host укажите сервер Google 8.8.4.4, который утилита будет пинговать;
  4. В поле Interval укажите интервал времени 00:00:05, через который будет пинговаться сервер. Для отладки работы скриптов поставим небольшой интервал 5 секунд. После отладки переключения между двумя провайдерами увеличим интервал до 30 секунд.
  5. Перейдите на вкладку Down;
     
  6. На вкладке Down вставляем скрипт /ip route enable Этот скрипт будет активировать маршрут через второго провайдера, если перестанет пинговаться сервер Google;
  7. Перейдите на вкладку Up;
     
  8. На вкладке Up вставляем скрипт /ip route disable Этот скрипт будет деактивировать маршрут через второго провайдера, если восстановится связь через первого провайдера;
  9. Нажмите кнопку OK.

Описание

MikroTik BaseBox 2 (RB912UAG-2HPnD-OUT) — беспроводная точка доступа для внешнего размещения, которая выполнена во всепогодном влагостойком корпусе и работает на частоте 2,4 ГГц.

Гигабитная точка доступа BaseBox 2 отлично подойдет для беспроводной базовой станции с высокой пропускной способностью или для организации Wi-Fi моста.

На плате устройства установлен процессор Atheros AR9342 600 МГц и оперативная память 64 МБ DDR2. Беспроводной модуль Atheros AR9283 работает в стандартах 802.11b/g/n с канальной скоростью до 300 Мбит/с. Управляет устройством предустановленная операционная система RouterOS Level4, позволяющая ограничивать скорость клиентам и многое другое.

Точка доступа имеет один гигабитный сетевой порт, порт USB 2.0 для подключения внешних накопителей или 3G модемов. Клемма заземления позволяет подключить устройство к шине заземления и защитить устройство от статических помех.

Устройство оснащено двумя SMA разъемами для подключения внешней антенны. Разъемы защищает от попадания влаги пластиковая крышка.

На корпусе MikroTik BaseBox 2 есть три дополнительных места для установки SMA разъемов. Они пригодятся в том случае, если вы захотите сделать устройство двух диапазонным. Для этого нужно будет подключить Wi-Fi адаптер miniPCIe на 5 ГГц к внутренней плате RB912 и вывести наружу SMA разъемы.

Питание подается на устройство по сетевому кабелю с помощью POE инжектора, идущего в комплекте поставки. Также в комплектацию входит монтажный хомут для крепления корпуса на мачту. Светодиодные индикаторы на корпусе позволяют выполнять позиционирование антенны в нужном направлении.

Устройство в данном форм факторе давно ждали от MikroTik. Раньше приходилось покупать платы MikroTik, искать к ним всепогодный корпус, пигтейлы, Wi-Fi карты, потом собирать весь этот конструктор. Теперь вы можете купить MikroTik BaseBox 2 и быстро подключить антенну, не тратя время на поиск необходимых компонентов и их сборку.

Характеристики

Система
Процессор: Atheros AR9342 600 MГц
RAM: 64 MB DDR2
Разъемы: 1 × 10/100/1000 Base-TX (Cat. 5, RJ-45) Ethernet
1 × miniPCIe (для 802.11 карты или 3G)
1 × SIM slot (для 3G модема)
1 × USB 2.0
2 × SMA
ОС: MikroTik RouterOS Level4 license
Радиомодуль
Чипсет: Atheros AR9283
Стандарты: 802.11b/g/n
Режимы работы: Access point
Station
Point-to-point
Пропускная способность: 300 Мбит/с
Частоты: 2400–2500 МГц
Передатчик/Приемник: Tx/Rx @ MCS0: 30/-96 dBmTx/Rx @ MCS7: 24/-78 dBmTx/Rx @ 6Mbit: 30/-96 dBmTx/Rx @ 54Mbit: 27/-80 dBm
Другое
Размеры: 24,6 × 13,5 × 5 см
Вес: 390 г
Электропитание: 8–30 В, POE-адаптер в комплекте
Рабочая температура: от -30°C до +80°С

Summary

Sub-menu:

HWMP+ is a MikroTik specific layer-2 routing protocol for wireless mesh networks. It is based on Hybrid Wireless Mesh Protocol (HWMP) from IEEE 802.11s draft standard. It can be used instead of (Rapid) Spanning Tree protocols in mesh setups to ensure loop-free optimal routing.

The HWMP+ protocol however is not compatible with HWMP from IEEE 802.11s draft standard.

Note that the distribution system you use for your network need not to be Wireless Distribution System (WDS). HWMP+ mesh routing supports not only WDS interfaces, but also Ethernet interfaces inside the mesh. So you can use simple Ethernet based distribution system, or you can combine both WDS and Ethernet links!

Note: Prerequisites for this article: you understand what WDS is and why to use it!
Software versions: 3.28+ (earlier versions are incompatible)

CAP to CAPsMAN принцип работы

Для того чтобы система CAPsMAN функционировала и обеспечивала беспроводную связь, CAP должен установить соединение управления с CAPsMAN.
Соединение управления может быть установлено с использованием протоколов MAC или IP layer и защищено с помощью «DTLS».

CAP также может передавать клиентское соединение данных с Менеджером, но соединение с данными не защищено. Если это считается необходимым,
тогда необходимо использовать другие средства защиты данных, например. IPSec или зашифрованные туннели.

Соединение CAP to CAPsMAN может быть установлено с использованием 2 транспортных протоколов (через Layer 2 и Layer 3).

  • MAC layer особенности соединения:
    • no IP configuration necessary on CAP
    • CAP and CAPsMAN must be on the same Layer 2 segment — either physical or virtual (by means of L2 tunnels)
  • IP layer (UDP) особенности соединения:
    • can traverse NAT if necessary
    • CAP must be able to reach CAPsMAN using IP protocol
    • if the CAP is not on the same L2 segment as CAPsMAN, it must be provisioned with the CAPsMAN IP address, because IP multicast based discovery does not work over Layer3

Чтобы установить соединение с CAPsMAN, CAP выполняет процесс обнаружения. Во время обнаружения CAP пытается связаться с CAPsMAN и создает список доступных CAPsMAN.
CAP пытается связаться с доступным CAPsMAN, используя:

  • configured list of Manager IP addresses
  • list of CAPsMAN IP addresses obtained from DHCP server
  • broadcasting on configured interfaces using both — IP and MAC layer protocols.

Когда список доступных CAPsMANs построен, CAP выбирает CAPsMAN на основе следующих правил:

  • if caps-man-names parameter specifies allowed manager names (/system identity of
    CAPsMAN), CAP will prefer the CAPsMAN that is earlier in the list, if list
    is empty it will connect to any available Manager
  • suitable Manager with MAC layer connectivity is preferred to Manager with IP connectivity

После выбора «Менеджер» CAP пытается установить соединение DTLS. Возможны следующие способы аутентификации:

  • no certificates on CAP and CAPsMAN — no authentication
  • only Manager is configured with certificate — CAP checks CAPsMAN certificate, but does not fail if it does
    not have appropriate trusted CA certificate, CAPsMAN must be configured with require-peer-certificate=no in
    order to establish connection with CAP that does not possess certificate
  • CAP and CAPsMAN are configured with certificates — mutual authentication

После установления соединения DTLS CAP может дополнительно проверить поле CommonName сертификата, предоставленного CAPsMAN.
Параметр cap-man-certificate-common-names содержит список допустимых значений CommonName. Если этот список не пуст, CAPsMAN
должен быть настроен с сертификатом. Если этот список пуст, CAP не проверяет поле CommonName.

Если CAPsMAN или CAP отключится от сети, потеря соединения между CAP и CAPsMAN будет обнаружена примерно через 10-20 секунд.

Properties

Property Description
l2mtu (integer; Default: ) Layer2 Maximum transmission unit. Note that this property can not be configured on all interfaces. Read more>>
mtu (integer; Default: ) Layer3 Maximum transmission unit
name (string; Default: ) Name of an interface

Read-only properties

Property Description
bindstr ()
bindstr2 ()
caps ()
default-name ()
dynamic (yes|no) Whether interface is dynamically created
default-name ()
fast-path (yes | no)
flags ()
id (integer) interface id
ifindex (integer) interface index
ifname (string) interface name in Linux kernel
mac-address (MAC)
max-l2mtu (integer) Max supported L2MTU
running (yes|no) Whether interface is running. Note that some interfaces may not have a ‘running check’ and they will always be reported as «running» (e.g. EoIP)
rx-byte (integer) Number of received bytes.
rx-drop (integer) Number of received packets being dropped
rx-errors (integer) Packets received with some kind of an error.
rx-packet (integer) Number of packets received.
slave (yes|no) Whether interface is configured as a slave of another interface (for example Bonding)
status (string)
tx-byte (integer) Number of transmitted bytes.
tx-drop (integer) Number of transmitted packets being dropped
tx-errors (integer) Packets transmitted with some kind of an error.
tx-packet (integer) Number of transmitted packets.

Настройка Интернета на роутере MikroTik hAP ac2

Данная настройка состоит из двух пунктов: настройки подключения на определенном порту, а также активация NAT(masquerade).

!!! Роутеры MikroTik не имеют заведома определённых портов LAN и WAN, эта группировка и назначение отводится для специалиста, который занимается настройкой маршрутизатора MikroTik.

Настройка DHCP client в MikroTik

Настройка находится в IP->DHCP Client

/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no \
interface=ether1

Опцией Add Default Route можно манипулировать, но выключенное состояние потребует ручного добавления маршрута. Это может стать полезным при использовании балансировки между несколькими линиями интернета.

Настройка статического IP в MikroTik

Будет состоять из трех разделов:

  1. Настройка IP адреса на интерфейсе;
  2. Настройка DNS;
  3. Создание статического маршрута.

Настройка находится в IP->Addresses

установка ip адреса на выбранный интерфейс

/ip address add address=81.21.12.15/27 interface=ether1 network=81.21.12.0

Настройка находится в IP->DNS

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

Настройка находится в IP->Routes

/ip route
distance=1 gateway=81.21.12.1

Настройка PPPOE в MikroTik

Настройка находится в PPP->Interface

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether-1 name=\
pppoe-out password=PASSWORD use-peer-dns=yes user=USER

Настройка находится в IP->Firewall->NAT

правило для работы интернета

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1

Дополнение: srcnat можно использовать ещё в ситуации, когда на исходящем порту несколько ip адресов: провайдер выделил диапазон адресов на одном проводном подключении.

Настройка WiFi на роутере MikroTik hAP ac2

На борту роутера MikroTik hAP ac2 присутствуют два WiFi модуля для одновременной работы в диапазонах 2.4ГГц и 5ГГц. Для их включения нужно последовательно настроить каждый из них.

Первым делом нужно настроить конфигурацию безопасности. Если локальная сеть не содержит гостевой сети, можно отредактировать конфигурацию по умолчанию.

Настройка находится в Wireless->Security Profiles

/interface wireless security-profiles
set  authentication-types=wpa2-psk eap-methods="" \
group-key-update=1h mode=dynamic-keys supplicant-identity=MikroTik \
wpa2-pre-shared-key=12345678

Роутер и WiFi точка доступа не будет блокировать настройку конфигурации WiFi если задать одно SSID имя. WiFi сигналы будут распространяться на абсолютно разные антеннах и в разных частотных диапазонах.

Настройки находятся Wireless->WiFi Interfaces

/interface wireless
set  band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=Mikrotik \
wireless-protocol=802.11

Настройки находятся Wireless->WiFi Interfaces

/interface wireless
set  band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-Ceee disabled=no frequency=auto mode=ap-bridge \
    security-profile=profile1 ssid=TopNet

Важно принимать факт нахождения wifi интерфейса в составе bridge, без этой настройки wifi клиенты не смогут получит ip адрес(dhcp сервер настроен на bridge), взаимодействовать с локальной сетью и будут ограничены доступом в интернет

Проброс портов в роутере MikroTik hAP ac2

Настройка находится в IP->Firewall->NAT

/ip firewall nat add action=dst-nat chain=dstnat dst-address=10.10.10.52 dst-port=80,443 \
in-interface=ether1 protocol=tcp to-addresses=192.168.0.2
/ip firewall filter add action=accept chain=forward connection-state=established,related
/ip firewall filter add action=accept chain=in connection-state=established,related
/ip firewall filter
add action=accept chain=input in-interface=bridge1
add action=accept chain=forward in-interface=bridge1
/ip firewall filter add action=accept chain=in protocol=icmp in-interface=pppoe-out1
/ip firewall filter add action=drop chain=input in-interface=pppoe-out1
/ip firewall filter add action=drop chain=forward connection-state=invalid
/ip firewall filter add action=drop chain=input connection-state=invalid

С расширенной версией по настройке Firewall в роутере MikroTik можно ознакомиться в статье Настройка Firewall в MikroTik, защита от DDOS атаки.

Рейтинг автора
5
Материал подготовил
Максим Иванов
Наш эксперт
Написано статей
129
Ссылка на основную публикацию
Похожие публикации