I set the discovery interface to Eth1 but still nothing (even I tried every possible interface not just Eth1). I also tried your configuration so I copied the code to my routerboard. The result is the same. When I set the configuration back I issuing another problem. Neither CAP or CAPsMAN’s CAP don’t get SSID.
In the CAPsMAN I see Remote CAP (both APs) state run etc. But the CAP don’t get the SSID.
Here is the configuration of CAPsMAN device:
/caps-man interface
#
add disabled=no l2mtu=1600 mac-address=E4:8D:8C:CE:E4:4F master-interface=none name=cap1 radio-mac=
E4:8D:8C:CE:E4:4F
#
add disabled=no l2mtu=1600 mac-address=E4:8D:8C:C7:DC:2B master-interface=none name=cap2 radio-mac=
E4:8D:8C:C7:DC:2B
/caps-man datapath
add bridge=bridge1 name=datapath1
/caps-man configuration
add country=»czech republic» datapath=datapath1 mode=ap name=cfg ssid=abcd
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg name-format=identity
/interface bridge
add name=bridge1 protocol-mode=none
/interface bridge port
add bridge=bridge1 interface=wlan1-local
add bridge=bridge1 interface=ether1-gateway
/interface wireless
# managed by CAPsMAN
# channel: 2412/20-Ce/gn(30dBm), SSID: , CAPsMAN forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce distance=indoors frequency=auto
mode=ap-bridge name=wlan1-local ssid=»» wireless-protocol=802.11
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface wireless cap
set caps-man-addresses=127.0.0.1 discovery-interfaces=bridge1 enabled=yes interfaces=wlan1-local
Here is the config of CAP device:
/interface wireless
# managed by CAPsMAN
# channel: 2422/20-Ce/gn(30dBm), SSID: , CAPsMAN forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce
distance=indoors frequency=auto mode=ap-bridge ssid=»» wireless-protocol=
802.11
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface wireless cap
set bridge=bridge1 discovery-interfaces=bridge1 enabled=yes interfaces=wlan1
/interface bridge
add name=bridge1 protocol-mode=none
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
-
slavawsk
- Сообщения: 2
- Зарегистрирован: 22 дек 2016, 12:44
Здравствуйте!
Сделал wi-fi сеть с контроллером CapsMan. Все микротики, которые подключены по кабелю к контроллеру замечательно зашли в капсман и работают отлично, wlan на самом контроллере заходить в capsman не хочет. Висит на этапе -managed by capsman и все. Иногда его пробивает и он цепляется нормально, появляется новый capsman интерфейс и все хорошо, но потом снова отключается. Сейчас даже не цепляется вообще. В discovery interfaces пробовал указывать все по очереди — не работает. Прошивка у всех устройств одинаковая 6.40.4. В роли контроллера RB2011UiAS-2Hnd . Прошу прощения за кривость изложения. Спасибо, тем кто захочет помочь.
-
podarok66
- Модератор
- Сообщения: 4259
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
28 дек 2017, 19:41
Код: Выделить всё
/interface wireless cap
set bridge=bridge1 caps-man-addresses=192.168.100.10 certificate=none discovery-interfaces=bridge1 enabled=yes interfaces=Mikrotik lock-to-caps-man=no static-virtual=no
Вот у меня работает на одной из точек RB951 с такими настройками
Сам CAPsMAN
Код: Выделить всё
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=Ce frequency=2437 name=channel1 tx-power=17
/caps-man security
add name=security1
/caps-man configuration
add channel=channel1 channel.band=2ghz-g/n channel.control-channel-width=20mhz channel.extension-channel=C
channel.frequency=2437 channel.tx-power=17 country=no_country_set datapath=datapath1 datapath.bridge=
bridge1 datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes mode=ap multicast-helpe
full name=Conf1 rx-chains=0,1,2 security=security1 ssid=Mikrotik tx-chains=0,1,2
/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name=datapath1
/caps-man interface
add arp=enabled comment=Home configuration=Conf1 disabled=no l2mtu=1600 mac-address=D4:CA:6D:CA:35:21
master-interface=none mtu=1500 name=cap1 radio-mac=D4:CA:6D:CA:35:21
add arp=enabled comment=TV-Host configuration=Conf1 disabled=no l2mtu=1600 mac-address=D4:CA:6D:90:41:64
master-interface=none mtu=1500 name=cap2 radio-mac=D4:CA:6D:90:41:64
/caps-man manager
set enabled=yes upgrade-policy=require-same-version
/caps-man provisioning
add action=create-enabled master-configuration=Conf1
Уж не знаю, насколько верны эти настройки, но как бы работает, причем давно. Я туда не влезаю и мне хорошо 
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? … Тогда Netinstal’ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем…
-
slavawsk
- Сообщения: 2
- Зарегистрирован: 22 дек 2016, 12:44
29 дек 2017, 12:29
podarok66 писал(а):
Код: Выделить всё
/interface wireless cap
set bridge=bridge1 caps-man-addresses=192.168.100.10 certificate=none discovery-interfaces=bridge1 enabled=yes interfaces=Mikrotik lock-to-caps-man=no static-virtual=noВот у меня работает на одной из точек RB951 с такими настройками
Сам CAPsMANКод: Выделить всё
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=Ce frequency=2437 name=channel1 tx-power=17
/caps-man security
add name=security1
/caps-man configuration
add channel=channel1 channel.band=2ghz-g/n channel.control-channel-width=20mhz channel.extension-channel=C
channel.frequency=2437 channel.tx-power=17 country=no_country_set datapath=datapath1 datapath.bridge=
bridge1 datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes mode=ap multicast-helpe
full name=Conf1 rx-chains=0,1,2 security=security1 ssid=Mikrotik tx-chains=0,1,2
/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name=datapath1
/caps-man interface
add arp=enabled comment=Home configuration=Conf1 disabled=no l2mtu=1600 mac-address=D4:CA:6D:CA:35:21
master-interface=none mtu=1500 name=cap1 radio-mac=D4:CA:6D:CA:35:21
add arp=enabled comment=TV-Host configuration=Conf1 disabled=no l2mtu=1600 mac-address=D4:CA:6D:90:41:64
master-interface=none mtu=1500 name=cap2 radio-mac=D4:CA:6D:90:41:64
/caps-man manager
set enabled=yes upgrade-policy=require-same-version
/caps-man provisioning
add action=create-enabled master-configuration=Conf1Уж не знаю, насколько верны эти настройки, но как бы работает, причем давно. Я туда не влезаю и мне хорошо
Спасибо за ответ! На самом деле все решилось проще, нужно было сделать разрешающее правило фаервола на input на самом контроллере. Я думал что можно не прописывать разрешение на подключение к самому себе, но как ни странно только после этого все заработало как надо.
-
Столкнулся с такой проблемой создания 2-х сетей на CAPsMAN может, кому поможет
Подняты два бриджа рабочий и гостевой
Появилась задача раздавать по CAPsMAN обе сети
Точка доступа физически подключена в офисный порт (бридж), сделаны все настройки datapath, каналы и т.д..
И вот в Provisioning Master Configuration ставлю офисный бридж, а в Slave Configuration гостевой.
Проверяю работу подключаюсь к гостевой сети все нормально, подключаюсь к офисной сети проходит аутентификация начинается получение IP адреса и обвал. Следует куча проверок на ошибки и т.д.
В итоге: Запустил пинг точки с CAPsMAN контроллера. и при попытке подключения к офисному WiFi, прекращаются пинги точки со стороны контроллера (предполагаю на ней отваливается Ethernet порт), соответственно, точка отваливается от контроллера и пропадает на контроллере. Через примерно секунд 10 точка опять пинги восстанавливаются, точка появляется на контроллере. и цикл повторяется.
Решил проблему следующим образом.
Точка доступа по прежнему физически подключена в офисный порт (бридж), но в Provisioning Master Configuration поставил гостевой бридж, а соответственно в Slave Configuration офисный. Т.е. как бы наоборот.
Все заработало. ))))Собственно написал вдруг кому поможет. Но это явно глюки софта Микротика. Если кто напишет в Микротик возражать не буду, а то чуть мозХ не уплыл, чЕ не пашет. ))))
PS прошивка Контроллера 6.40.6, точки вначале была 6.42.3 перешил на 6.40.8 эффекта не дало.
Ну и в догонку, Кто нибудь знает как в The Dude на точках доступа которые висят в CAPsMAN получить информацию о количестве подключенных клиентов, желательно на каждой точке в отдельности, в Wiki есть информация, но она относится только к точке, которая не висит в CAPsMAN и сама является роутером.
Последнее редактирование: 12 июн 2018
-
Я думаю можно получать, нужно разобраться с синтаксисом.
-
День бодрый!
Возникла подобная проблема.
Есть сеть в которой есть маршрутизатор Cisco который и шлюз и DHCP сервер. Есть 4 Микротика которые работают точками доступа в эту сеть. Объединены CAPsMAN-ом. Настроены две SSID для телефонов и для ноутбуков. Различаются только названием и паролем, но datapath одинаковый. Пока не разделены, VLAN-ов нет. В провижене одна сеть главная телефонная, вторая ноутбучная вспомогательная.
Все работало нормально, не важно к какой сети подключился, по сути одно и тоже.
Добавили пару точек, все работало. Прошла неделя.
Теперь нормально работает только основная сеть, во всомогательной не раздаются адреса. В логах микротика видно что клиент подключился, но адрес не получает. Если взять статику и подключиться, то не видно ни шлюза, ни точек, ни соседей. Но микротик показывает что клиент подключен и байты идут.
Если в провижене поменять сети местами (основную с ведомой), то в обеих сетях такая проблема, логинятся, но никого не видят, и адреса не получают. Если вернуть как было, то нормально работает только основная.
Точки перезагружал, не помогает.На данный момент работает только телефонная сеть и при условии что она в провижене главная. Ноутбучная как заглушка работает.
-
покажите настройки CapsMAN
-
# jul/17/2018 19:31:56 by RouterOS 6.40.3
# software id = C23X-35RF
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 71AF0756FE74
/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=disabled frequency=2457 name=ch_10 tx-power=20
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=yes name=datapath1
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=ekb_g passphrase=xxxx
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=ekb_p passphrase=xxxx
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=ekb_m passphrase=xxxx
/caps-man configuration
add channel=ch_10 datapath=datapath1 mode=ap name=cfg_ekb_g rx-chains=0,1,2 security=ekb_g ssid=BERG_G tx-chains=0,1,2
add channel=ch_10 datapath=datapath1 mode=ap name=cfg_ekb_p rx-chains=0,1,2 security=ekb_p ssid=BERG_P tx-chains=0,1,2
add channel=ch_10 datapath=datapath1 mode=ap name=cfg_ekb_m rx-chains=0,1,2 security=ekb_m ssid=BERG_M tx-chains=0,1,2
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg_ekb_g slave-configurations=cfg_ekb_p,cfg_ekb_mРаботает только сеть BERG_G
У меня есть подозрение что тут проблема с версией ROS на мастере 6.40.3 на старых точках аналогичная, а вот две точки новых 6.42.5
Помнится в 6.41 концепцию бриджей перепилили. Новые точки как вторичные capsman-ы были настроены. Сейчас убрал, но пару раз точки с них конфигурацию взяли. -
По итогу экспериментов:
Точка которая CAPsMAN — все сети работают нормально.
Проблемы только на ведомых точках.
Подключиться без проблем можно к основной SSID , а вот к ведомым — подключается и висит на получении ip-адреса, попытки с 3-4 подключается.
Вот конфа ведомой точки:# jul/18/2018 18:47:58 by RouterOS 6.42.5
# software id = PZ7Q-H7NN
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 71AF0839F547
/interface bridge
add fast-forward=no name=bridge1
/interface wireless
# managed by CAPsMAN
# channel: 2457/20/gn(20dBm), SSID: BERG_G, local forwarding
set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=wlan2
/interface wireless cap
#
set caps-man-addresses=192.168.202.34 enabled=yes interfaces=wlan1
/ip address
add address=192.168.202.44/24 interface=bridge1 network=192.168.202.0
/ip dns
set allow-remote-requests=yes servers=192.168.202.4,192.168.201.25
/ip route
add distance=1 gateway=192.168.202.1
/snmp
set contact=хххх enabled=yes location=EKB_Master03 trap-version=2
/system clock
set time-zone-name=Asia/Yekaterinburg
/system identity
set name=EKB_Master03
/system ntp client
set enabled=yes primary-ntp=192.168.202.1 secondary-ntp=192.168.202.4
/system routerboard settings
set silent-boot=no -
откатитесь на 6.40.3 как и cAPsMAN
-
Попробовал несколько иную ситуацию, обновил всё и CAPsMAN мастера и все ведомые точки до 6.42.5
В основную сеть все заходят без проблем.
В первую вспомогательную часть без проблем, часть получают ошибку
disconnected, received deauth: sending station leaving (3)
но после пары дисконектов, подключаются нормально.
А вот во вторую вспомогательную всегда идет ошибка
disconnected, received disassoc: sending station leaving (8)Пароли правильные.
-
иногда помогает удаление динамических интерфейсов на caPsmaN и создание их заново.
из приложенного листинга, вижу что на точке применена одна конфигурация, вспомогательных не вижу.
# channel: 2457/20/gn(20dBm), SSID: BERG_G, local forwarding -
По вспомогательным сетям. В экспорте на ведомых точках про них ничего нет.
В графическом интерфейсе видно.
-
попробуйте provisioning подправить так:
add action=create-dynamic-enabled hw-supported-modes=g,gn master-configuration=cfg_ekb_g slave-configurations=cfg_ekb_p,cfg_ekb_m -
add action=create-dynamic-enabled hw-supported-modes=g,gn master-configuration=cfg_ekb_g slave-configurations=cfg_ekb_p,cfg_ekb_m
Попробовал, не помогло.
Откатил все устройства на 6.40.3 — тоже самое. -
Еще такой момент. Вот простая схема сети:
Слева CAPsMAN, справа точки доступа. Посредине раньше был свич цисковский 2950, его заменили на MikroTik hAP ac lite.
Может на hAP нужно что-то прописать?
Вот его конфа сейчас:# jul/27/2018 19:02:21 by RouterOS 6.40.3
# software id = PZ7Q-H7NN
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 71AF0839F547
/interface bridge
add fast-forward=no name=bridge1
/interface wireless
# managed by CAPsMAN
# channel: 2457/20/gn(20dBm), SSID: BERG_G, local forwarding
set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/snmp community
set [ find default=yes ] addresses=::/0
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=wlan2
/interface wireless cap
#
set caps-man-addresses=192.168.202.34 enabled=yes interfaces=wlan1
/ip address
add address=192.168.202.44/24 interface=bridge1 network=192.168.202.0
/ip dns
set allow-remote-requests=yes servers=192.168.202.4,192.168.201.25
/ip route
add distance=1 gateway=192.168.202.1
/system identity
set name=ххх
/system leds
add
/system ntp client
set enabled=yes primary-ntp=192.168.202.1 secondary-ntp=192.168.202.4 -
Сохраните файл скриптом текущую конфигурацию Capsman, сделайте полный reset конфигурации. Накатить файл скрипт на Capsman
-
День бодрый!
Пардон за долгое отсутствие, отпуск и учеба.
Однако, проблему удалось победить.
Вывод: внутренний бридж на ведомых точках должен называться аналогично точке на которой работает CAPsMAN.
У меня на мастере был бридж с WLAN картами по имени bridge, а на клиентах bridge1.
Переименовал бриджи в bridge, переподключился и дополнительные WiFi сети заработали. -
Похоже что была петля.
На CAP в принципе бридж не нужен.
Всем привет!
Приобрел hap ac 2 и и пытаюсь им заменить hap ac lite. До этого настраивал CAPsMAN на hap ac lite (в паре с 2 WAP ac) (опираясь на https://2keep.net/mikrotik-capsman-v2-hap-ac-lite/) но с hap ac 2 столкнулся с проблемой что он он видит в CAPsMAN собственые wi-fi интерфейсы. WAP AC нормально видится и подхватывает конфигурацию а сам hap ac 2 — не видит. Ниже конфиг
# may/02/2018 22:48:44 by RouterOS 6.42.1
# software id = CK3K-T5I3
#
# model = RouterBOARD D52G-5HacD2HnD-TC
# serial number = 8A2A08B1335C
/caps-man channel
add band=2ghz-onlyn control-channel-width=20mhz extension-channel=disabled
frequency=2412 name=lefoss-2.4g-1F tx-power=20
add band=2ghz-onlyn control-channel-width=20mhz extension-channel=disabled
frequency=2437 name=lefoss-2.4g-2F tx-power=20
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ce
frequency=5180 name=lefoss-5g-1F tx-power=20
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ce
frequency=5220 name=lefoss-5g-2F tx-power=20
/interface bridge
add admin-mac=CC:2D:E0:C2:CE:DB auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] name=ether1-tlstar-optic-source
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1-tlstar-optic-source
name=pppoe-tlstar-internet password=yyyy use-peer-dns=yes user=xxxx
/interface wireless
# managed by CAPsMAN
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce
distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-C2CEDF
wireless-protocol=802.11
# managed by CAPsMAN
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=
20/40/80mhz-Ceee distance=indoors frequency=auto mode=ap-bridge ssid=
MikroTik-C2CEE0 wireless-protocol=802.11
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=yes name=
lefoss-datapath
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm
group-key-update=10m name=lefoss-security passphrase=papa&papa
/caps-man configuration
add channel=lefoss-5g-2F country=russia3 datapath=lefoss-datapath mode=ap
name=cfg-5G rx-chains=0,1 security=lefoss-security ssid=lefoss tx-chains=
0,1
add channel=lefoss-2.4g-2F country=russia3 datapath=lefoss-datapath mode=ap
name=cfg-2.4G rx-chains=0,1 security=lefoss-security ssid=lefoss
tx-chains=0,1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.7.150-192.168.7.199
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg-5G
add action=create-dynamic-enabled master-configuration=cfg-2.4G
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge interface=wlan2
add bridge=bridge interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1-tlstar-optic-source list=WAN
add interface=pppoe-tlstar-internet list=WAN
/interface wireless cap
#
set bridge=bridge caps-man-addresses=192.168.7.254 enabled=yes interfaces=
wlan1,wlan2
/ip address
add address=192.168.7.254/24 comment=defconf interface=ether2 network=
192.168.7.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=
ether1-tlstar-optic-source
/ip dhcp-server network
add address=192.168.7.0/24 comment=defconf dns-server=192.168.7.251 domain=
192.168.7.1 gateway=192.168.7.254 netmask=24 ntp-server=192.168.7.251
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.7.254 name=router.lan
/ip firewall filter
add action=accept chain=input comment=
"defconf: accept established,related,untracked" connection-state=
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN"
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy"
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy"
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack"
connection-state=established,related
add action=accept chain=forward comment=
"defconf: accept established,related, untracked" connection-state=
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid"
connection-state=invalid
add action=drop chain=forward comment=
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade"
ipsec-policy=out,none out-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=lefoss-hap-2
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Что самое обидное — сбрасываю hap ac lite и собираю на нем такую же конфигурацию — он свои интерфейся видит.
Изменено 5 мая, 2018 пользователем Terol
Решение найдено
Всем привет!
Приобрел hap ac 2 и и пытаюсь им заменить hap ac lite. До этого настраивал CAPsMAN на hap ac lite (в паре с 2 WAP ac) (опираясь на https://2keep.net/mikrotik-capsman-v2-hap-ac-lite/) но с hap ac 2 столкнулся с проблемой что он он видит в CAPsMAN собственые wi-fi интерфейсы. WAP AC нормально видится и подхватывает конфигурацию а сам hap ac 2 — не видит. Ниже конфиг
# may/02/2018 22:48:44 by RouterOS 6.42.1
# software id = CK3K-T5I3
#
# model = RouterBOARD D52G-5HacD2HnD-TC
# serial number = 8A2A08B1335C
/caps-man channel
add band=2ghz-onlyn control-channel-width=20mhz extension-channel=disabled
frequency=2412 name=lefoss-2.4g-1F tx-power=20
add band=2ghz-onlyn control-channel-width=20mhz extension-channel=disabled
frequency=2437 name=lefoss-2.4g-2F tx-power=20
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ce
frequency=5180 name=lefoss-5g-1F tx-power=20
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ce
frequency=5220 name=lefoss-5g-2F tx-power=20
/interface bridge
add admin-mac=CC:2D:E0:C2:CE:DB auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] name=ether1-tlstar-optic-source
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1-tlstar-optic-source
name=pppoe-tlstar-internet password=yyyy use-peer-dns=yes user=xxxx
/interface wireless
# managed by CAPsMAN
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce
distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-C2CEDF
wireless-protocol=802.11
# managed by CAPsMAN
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=
20/40/80mhz-Ceee distance=indoors frequency=auto mode=ap-bridge ssid=
MikroTik-C2CEE0 wireless-protocol=802.11
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=yes name=
lefoss-datapath
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm
group-key-update=10m name=lefoss-security passphrase=papa&papa
/caps-man configuration
add channel=lefoss-5g-2F country=russia3 datapath=lefoss-datapath mode=ap
name=cfg-5G rx-chains=0,1 security=lefoss-security ssid=lefoss tx-chains=
0,1
add channel=lefoss-2.4g-2F country=russia3 datapath=lefoss-datapath mode=ap
name=cfg-2.4G rx-chains=0,1 security=lefoss-security ssid=lefoss
tx-chains=0,1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.7.150-192.168.7.199
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg-5G
add action=create-dynamic-enabled master-configuration=cfg-2.4G
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge interface=wlan2
add bridge=bridge interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1-tlstar-optic-source list=WAN
add interface=pppoe-tlstar-internet list=WAN
/interface wireless cap
#
set bridge=bridge caps-man-addresses=192.168.7.254 enabled=yes interfaces=
wlan1,wlan2
/ip address
add address=192.168.7.254/24 comment=defconf interface=ether2 network=
192.168.7.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=
ether1-tlstar-optic-source
/ip dhcp-server network
add address=192.168.7.0/24 comment=defconf dns-server=192.168.7.251 domain=
192.168.7.1 gateway=192.168.7.254 netmask=24 ntp-server=192.168.7.251
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.7.254 name=router.lan
/ip firewall filter
add action=accept chain=input comment=
"defconf: accept established,related,untracked" connection-state=
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN"
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy"
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy"
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack"
connection-state=established,related
add action=accept chain=forward comment=
"defconf: accept established,related, untracked" connection-state=
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid"
connection-state=invalid
add action=drop chain=forward comment=
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade"
ipsec-policy=out,none out-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=lefoss-hap-2
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Что самое обидное — сбрасываю hap ac lite и собираю на нем такую же конфигурацию — он свои интерфейся видит.
Изменено 5 мая, 2018 пользователем Terol
Решение найдено
-
gvov
- Сообщения: 1
- Зарегистрирован: 04 фев 2022, 14:54
CAPSMAN no Supported channel
Здравствуйте.
Есть mikrotik 4011 — capsman
hap-ac2 — точки доступа в режиме бриджа
прошивка — 6.48.6 — текущий long term
2GHz работает
5GHz — выдает ошибку no Support channel и не работает, куда копать?
пробовал по мануалам и все не обязательные настройки указывать вручную и оставлять пустыми, в том числе регион, частота.
Пробовал удалить все настройки capsman и настроить заново.
Пробовал подключить к роутеру только одну точку доступа. После любых настроек пробовал и с перезагрузками всего оборудования — ничего пока не помогло, в чем может быть дело? На что обратить внимание?
- Вложения
-
- 2022-02-03_10-24-48.png (50.02 КБ) 1375 просмотров
-
Chupaka
- Сообщения: 3631
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
- Контактная информация:
Re: CAPSMAN no Supported channel
Сообщение
Chupaka » 04 фев 2022, 16:04
Здравствуйте.
Ну, я бы попробовал обратить внимание на конфиг CAPsMAN’а. Но у вас в посте его не нашёл…
P.S. В System->RouterBOARD версия Firmware актуальная?
-
Корпич
- Сообщения: 72
- Зарегистрирован: 06 июн 2019, 16:42
Re: CAPSMAN no Supported channel
Сообщение
Корпич » 04 фев 2022, 21:19
gvov писал(а): ↑04 фев 2022, 15:44
5GHz — выдает ошибку no Support channel и не работает, куда копать?
Такую ошибку выдает потому. что Вы пытаетесь ему подсунуть частоты для 2,4 диапазона, соответственно он не может на них работать и ругается 
В провижине рекомендую вместо add action=create-dynamic-enabled использовать add action=create-enabled. Тогда интерфейс создастся один раз и все. Потом его можно открыть и задать все необходимые параметры вручную
-
kardash
- Сообщения: 294
- Зарегистрирован: 27 апр 2017, 22:08
- Откуда: Минск
- Контактная информация:
Re: CAPSMAN no Supported channel
Сообщение
kardash » 22 фев 2022, 12:20
У меня такое было из-за:
1. Точки доступа были блокированы под регион раша 3
2. Была установлена частота не для того региона
3. Разное ПО на точках доступа
4. Ширина канала не поддерживается в данном регионе
-
4rost
- Сообщения: 2
- Зарегистрирован: 27 май 2022, 14:47
Re: CAPSMAN no Supported channel
Сообщение
4rost » 27 июл 2022, 16:01
kardash писал(а): ↑22 фев 2022, 12:20
У меня такое было из-за:
1. Точки доступа были блокированы под регион раша 3
2. Была установлена частота не для того региона
3. Разное ПО на точках доступа
4. Ширина канала не поддерживается в данном регионе
Подскажите (укажите) пожалуйста, где можно прочитать, если написано, как бороться с указанными проблемами? Спасибо!
-
4rost
- Сообщения: 2
- Зарегистрирован: 27 май 2022, 14:47
Re: CAPSMAN no Supported channel
Сообщение
4rost » 28 июл 2022, 15:05
Путем перебора каналов получилось подобрать. В итого получилось — channel: 5500/20-Ceee/ac/…. Country: belarus
Не силен в стандартах частот каналов для стран. Подскажите с такими настройками можно работать в РБ?
-
Chupaka
- Сообщения: 3631
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
- Контактная информация:
Re: CAPSMAN no Supported channel
Сообщение
Chupaka » 04 авг 2022, 15:54
Когда Country выставлена в Belarus — роутер будет работать только на тех частотах и тех мощностях, которые разрешены в Беларуси.
Информацию можно просмотреть вот так:
Код: Выделить всё
/interface wireless info country-info belarusв Терминале
Гвоздём нашей программы будет настройка CAPsMAN v2 на роутере MikroTik – то есть контроллера управления точками доступа. Он позволяет конфигурировать устройства из единого места, назначать каналы и их ширину, SSID, профили безопасности, централизованную блокировку устройств, аутентификация устройств на основе сертификатов, и много другое. Обновлённая версия продукта входит в стандартный пакет RouterOS с версии 6.37. Первой версии не совместима со второй. Для его работы нужен уровень лицензии 4 и выше.
Стоит отметить важный нюанс, если все ваши точки доступа, настроены на получение конфигураций от контроллера, и он по каким-либо причинам не доступен, то все AP прекратят своё вещание до тех пора, пока CAPsMAN не станет доступным.
Содержание
- Схема сети
- Настройка CAPsMAN
- Channels
- Datapath
- Security
- Configurations
- Provisioning
- Включение CAPsMAN
- Настройка AP
- Бесшовный роуминг
- Настройка сертификатов
- 89 вопросов по настройке MikroTik
Схема сети
- RouterOS 6.47.4;
- 192.168.0.0/24 – LAN;
- Mikrotik RB951G-2HnD – CAPsMAN, настроен интернет, DNS, DHCP;
- Mikrotik RB951Ui-2HnD и RB951Ui-2nD (hAP) – точки доступа;
- Устройства подключены по кабелю.
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.
Подключимся на роутер RB951G и выведем действующую конфигурацию:
В General-Bridge входят ehter2-4, ether1 – смотрит в интернет (выход в интернет у нас отсутствует, т.к. для демонстрации решения он нам не понадобится), назначен IP адрес, DNS и NAT.
Все настройки будут производиться в меню CAPsMAN.
Channels
Создадим первый канал на частоте 2412, ширина в 20Mhz, стандарт G и N.
По аналогии создадим шестой и одиннадцатый каналы.
Datapath
Создадим правило, которое будет добавлять в локальный General-Bridge интерфейсы подключённых AP.
- Local Forwarding – если не установлена галочка, значит клиентская AP будет форвардить трафик через контроллер. Если у вас много точек доступа, от 5-10 и на них много клиентов, то для разгрузки лучше включать данную галочку.
- Client to Client Forwarding – данный параметр разрешает обмениваться трафиком между клиентами AP.
Создадим второй Datapath для гостевой сети. В нем отключим обмен данными между клиентами.
Security
Сконфигурируем профиль безопасности для защищённой сети, указав:
- Имя профиля:
- Тип аутентификации;
- Шифрование;
- Пароль.
Настроим второй профиль, для открытой сети, без указания типов шифрования, пароля и т.д.
Configurations
На данном этапе мы создаём конфигурации. Т.к. у нас будет закрытые и открытые сети, то нам понадобятся 2 конфига. Для первого в wireless укажем:
- Имя конфигурации;
- Режим работы;
- SSID;
- Место нахождения;
- Hw. Protection Mode;
- Страна;
- Максимальное количество клиентов.
Откроем Datapath и выберем первый.
Профиль безопасности так же нужен первый.
Создадим второй конфиг с незначительными изменениями.
Datapath и Security Profile выберем вторые.
Provisioning
Задаём параметры для Provisioning. Идентифицировать клиента мы будет по IP адресу, но можно и по имени (System — Identity), а также MAC, но можно и все вместе. Задаём действие – создать динамически и включить, укажем основной и дополнительные конфиги (их может быть до 32-ух, это ограничение RouterOS).
Action могут быть различные:
- None – ничего не делать;
- Create enabled – в этом случае создаются статические интерфейсы;
- Create disabled – создать и выключить;
- Create dynamic enabled – используется для тестирования, после чего рекомендуется прибить гвоздями Create enabled.
Включение CAPsMAN
Столько мучений, ради одной заветной галочки.
Настройка AP
Подключимся к микротику RB951Ui-2HnD и взглянем на его настройки. Ничего особенного. Имеем бридж и адрес на нем.
Для получения конфига, перейдём в Wireless – CAP:
- Включаем CAP;
- Interface – тот, на котором будет применены настройки;
- CAPsMAN Address – указываем адрес контроллера, для обеспечения резервации можно указать несколько, если таковы у вас имеются;
- Bridge – тот мост, в который добавятся созданные интерфейсы с полученный конфигураций с контролера.
Обратите внимание, что wlan1 отключён.
В качестве примера, мы добавляем и WiFi-1 и WiFi-2-Guest в общий бридж. В реальной жизни так делать, конечно, не надо. Следует разделить все по VLAN: основной сети, гостевой и management vlan.
Как вы видите, появился соответствующий комментарий, теперь данной AP управляет контроллер.
После того как прилетят настройки, мы их увидим в описании каждого интерфейса. Но внимательный читатель заметит, что конфиг немного не тот, что указывали выше, в частности канал, согласно параметрам нам должен был прилететь 2412, а по факту 2452. Исправим это на контроллере. На вкладке CAP Interface мы видим все успешно подключённые клиентские AP. Флаг D означает – динамический.
Превратим их в статические и зададим корректные каналы. Двойным кликом открываем cap1, жмём copy.
В скопированном интерфейсе указываем корректный канал, datapath, cfg и security.
После применения, оба интерфейса пропадут и останется в нашем случае cap3. Переименуем его в понятное имя.
После сохранения снова копируем. Задаём корректное имя для WiFi-2-Guest и выбираем Master Interface
Указываем соответствующий конфиг, канал, datapath и профиль безопасности.
Список CAP интерфейсов должен быть следующий.
На клиенте теперь нужно выключить и включить CAP в Wireless. Вот теперь все в порядке.
Создадим provisioning для RB951Ui-2nD (hAP) изменив IP Address Ranges, или указав Radio MAC, в качестве эксперимента попробуем этот вариант (в реальной жизни, старайтесь соблюдать единообразие конфигов). Этот тот самый MAC, который светится в настройках конкретной карточки.
Теперь включим CAP на RB951Ui-2nD (hAP).
Снова проблемы с каналами. Проделаем такой же трюк с копированием интерфейсов, необходимо изменить частоту согласно channel6. Не забываем про профили безопасности, datapath и cfg.
После выключения/включения CAP, должны получить правильный конфиг.
У нас остался третий девайс, это сам контроллер. Да-да, он может быть так же сам для себя им.
Итого у нас есть 3 девайса, на разных каналах, на каждом по 2 AP с разным SSID. Проверим это!
Бесшовный роуминг
Интернет пестрит громкими фразами вида «настройка бесшовного wifi (роуминг) на микротик», но чудес не бывает, и это на самом деле псевдо бесшовный роуминг. Для бесшовности в прямом смысле этого слова, вам понадобится протокол 802.11R, реализация которого отсутствует на устройствах Mikrotik, его поддерживают другие более дорогие устройства. Куча манов ведут к «тонкой настройке» Access List путём принудительного выбрасывания с точки при определённом уровне сигнала. Так вот, это абсолютно бессмысленно, т.к. при выкидывании с точки вы лишаетесь того самого псевдо роуминга.
Хитрость состоит в том, что нужно грамотно расставить точки доступа. Под грамотно, я понимаю, чтобы уровень сигнала клиентского устройства был в пределах -70-75 и тогда, CAPsMAN увидит, на основе своего анализа, что у вас блин хреновый сигнал, и переключит на ближайшую точку (если она установлена правильно, если сигнал ее лучше и если она вообще есть). Переключение в ДАННОМ случае, будет начинаться со второго этапа аутентификации, а не с первого, т.е. полного, как ели бы вы сделали это выкидыванием клиентов. Это и есть дополнительная, подчёркиваю, дополнительная фича, а не крутая реализация роуминга.
Access List нужен для других целей – блокировка / разрешение доступа к точкам. В контексте CAPsMAN это работает централизованно.
Вы только посмотрите, можно запрещать или разрешать определённым MAC адресам цепляться на конкретных или всех AP.
Начал одним, а закончил другим))), надеюсь теперь все стало понятно.
Настройка сертификатов
К сожалению, первая версия имела изъяны, и без труда можно было прикинуться AP. Ситуация изменилась с появлением сертификатов и улучшенных механизмов работы. Не будем заострять внимание на генерации сертификатов, это, пожалуй, отдельная тема, тем более их можно создавать, не отходя от кассы. Но имейте в виду, что они сгенерятся на максимально возможны срок.
Открываем Manager, в Certificate и CA Certificate ставим значение auto.
После применения, роутер сгенерировал CA и сертификат для роутера. Укажем их вместо auto в выпадающем списке.
Подключаемся к Mikrotik RB951Ui-2HnD, открываем CAPsMAN в Wireless, в строке Certificate выбираем auto.
После чего, клиент отправит на контроллер запрос сертификата и получит его. Следом меняем auto на выданный сертификат из выпадающего списка. Так же рекомендую указать CAPsMAN Certificate Common Name. Ставя галочку Lock To CAPsMAN, мы жёстко привязываемся. Но если вы отзовёте сертификат контроллера, то точки перестанут работать.
Если все хорошо, то конфиг прилетит без проблем. Проделываем то же самое для остальных AP. После чего на контроллере ставим галочку Require Peer Certificate.
Теперь принудительно требуем у точек наличие сертификата.
Чтобы не городить все в один или разные бриджи, прочтите нашу статью «Настройка VLAN на микротиках» для красивого разрезания сетей на VLAN.
Удачных конфигов.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдёте для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.