Настройка CAPsMAN в RouterOS v7, бесшовный WiFi роуминг MikroTik AX и AC. Часть 1.

Руководство демонстрирует процесс развёртывания CAPsMAN на устройствах MikroTik и содержит примеры конфигурации бесшовного и высокоскоростного Wi-Fi-роуминга для RouterOS v7 и v6. В качестве беспроводных точек доступа рассматриваются модели, поддерживающие стандарты 802.11ac и 802.11ax. Конфигурирование выполняется через Winbox и сопровождается иллюстрациями, пошаговыми пояснениями и готовым скриптом для запуска в терминале.

Материал описывает три пакета — wirelles, wifi-qcom и wifi-qcom-ac. Каждый пакет соответствует своему поколению беспроводного оборудования MikroTik. Пакеты wifi-qcom и wifi-qcom-ac предназначены для устройств стандарта 802.11ax (серия AX), тогда как wirelles обслуживает предыдущие модели MikroTik 802.11ac/802.11n.

Совместимое развёртывание пакетов wifi-qcom и wifi-qcom-ac начинается с RouterOS 7.13 и сохраняется вплоть до RouterOS 7.18 (релизы 2023–2025 гг.). Версии до RouterOS 7.12.1 признаны устаревшими, поскольку исторический пакет WiFiWave2 был заменён современной реализацией wifi-qcom.

В демонстрационном сценарии настройки CAPsMAN с пакетом wirelles используется RouterOS v7. Процедура полностью идентична для RouterOS v6 и не предполагает каких-либо отличий.

Контроллером CAPsMAN выступает маршрутизатор MikroTik, к которому подключаются Wi-Fi-точки доступа. В качестве точек доступа подходит любое устройство MikroTik, оснащённое радиомодулем 2,4 ГГц или 5 ГГц.

РЕКОМЕНДАЦИЯ

Наша команда советует изучить углубленный курс по администрированию сетевых устройств MikroTik.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.

CAPsMAN vs бесшовный и быстрый WiFi роуминг

Для описания различий между WiFi оборудованием попробуем разобраться с терминологией, которая часто встречается в описании.

Бесшовный WiFi роуминг

Бесшовный Wi-Fi-роуминг — технология, обеспечивающая плавное переключение клиента между точками доступа без разрыва соединения. Контроллер CAPsMAN анализирует параметры радиоканала и автоматически назначает клиенту точку с лучшим сигналом, что позволяет поддерживать устойчивое покрытие при наличии двух и более точек доступа. Методика оптимальна для крупных помещений: многоэтажных домов, ресторанов, кафе, офисов и просторных квартир.

Быстрый роуминг

Быстрый роуминг — технология перехода клиента между точками доступа Wi-Fi, допускающая кратковременные разрывы либо задержки сигнала.

При проектировании беспроводной инфраструктуры зоны покрытия точек доступа намеренно перекрываются, что обеспечивает быстрое автоматическое переключение клиента между ячейками без участия пользователя. Однако задержки 200–1000 мс, характерные для такой схемы, ухудшают качество VoIP-звонков и заметны в работе мобильных SIP-устройств, мессенджеров (Telegram, WhatsApp, Viber, Skype), видеоконференций, потокового вещания и загрузки файлов. Поэтому при выборе системы роуминга важно учитывать допустимый уровень разрыва связи. Механизм быстрого роуминга CAPsMAN целесообразен там, где непрерывность соединения не критична; решение распространено в офисах, индивидуальных домах, квартирах и на открытых площадках.

Ситуации, когда клиент остаётся подключён к точке с низким уровнем сигнала, решаются двумя методами. Первый предполагает настройку всех точек на одном радиоканале с минимальным взаимным перекрытием, что позволяет устройству самостоятельно перейти на точку с лучшим сигналом. Второй основывается на правиле CAPsMAN, разрывающем соединение при достижении порогового уровня RSSI; после отключения клиент подключается к более сильному AP.

Технология fast roaming реализована исключительно в пакете wirelles и менее эффективна, чем современные пакеты wifi-qcom и wifi-qcom-ac. Пакет wirelles применяется преимущественно в RouterOS v6 на оборудовании MikroTik 802.11ac/n, но может быть установлен и под RouterOS v7.

Что такое CAPsMAN

CAPsMAN (Controller Access Point system Manager) — встроенный программный компонент каждого маршрутизатора MikroTik под управлением RouterOS v6 или v7. Применение CAPsMAN устраняет необходимость приобретения отдельного аппаратного Wi-Fi-контроллера, характерного для решений UniFi (Ubiquiti), TP-Link Omada, HP Aruba и т. д.; устройства UniFi Cloud Key и TP-Link Omada OC200/OC300 выполняют схожие функции, но реализованы как внешние модули.

Контроллер CAPsMAN обеспечивает централизованное администрирование всех беспроводных устройств MikroTik, включая конфигурацию, распределение трафика и мониторинг. После подключения к контроллеру точки доступа автоматически наследуют заданные параметры (единый SSID, ключи безопасности и др.). Централизованная архитектура упрощает эксплуатацию как крупных, так и малых сетей.

Оборудование MikroTik привлекает оптимальным балансом цены и функциональности. Стоимость устройств остаётся умеренной, а набор возможностей нередко превосходит более дорогие аналоги. К востребованным опциям относятся гостевые сети, контроль скорости, расписания доступа, ограничения на обращение к локальным ресурсам и гибкая маршрутизация через исходящие VPN-туннели.

Поддержка бесшовного WiFi 6 роуминга в MikroTik AX

Пакеты wifi-qcom (WiFiWave2) и wifi-qcom-ac вводят поддержку протоколов бесшовного роуминга 802.11r, 802.11k и 802.11v. Переход на эту архитектуру устраняет необходимость в устаревшем механизме fast-roaming: соединение сохраняется без пауз при перемещении клиента между точками доступа. При голосовых и видеозвонках в Telegram, WhatsApp, Viber, Skype или аналогичных приложениях устройства на iOS и Android плавно переключаются на ближайшую точку доступа без деградации качества. Переключение инициируется не самим клиентским устройством, а контроллером CAPsMAN, который, опираясь на поддержку указанных протоколов, выбирает оптимальную точку доступа.

Бесшовное Wi-Fi-покрытие рассматривается как базовое требование при расширении сети дополнительными точками доступа, установленными рядом с маршрутизатором MikroTik. Контроллер CAPsMAN с пакетом wifi-qcom поддерживает регистрацию как актуальных устройств MikroTik AX, так и моделей предыдущего поколения MikroTik AC/N на базе ARM.

Настройка нового CAPsMAN используя пакет wifi-qcom

Маршрутизатор MikroTik hAP ax2, обновлённый до RouterOS 7.14.3, применяется как центральный контроллер CAPsMAN wifi-qcom. Устройство находится в базовой конфигурации. Текстовый дамп настроек CAPsMAN будет приведён в конце раздела.

Для контроллера CAPsMAN с прошивкой ниже RouterOS 7.13 рекомендуется провести обновление в два этапа. Сначала устройство переводится на промежуточную версию RouterOS 7.12.1 для подготовки пакетной базы, после чего выполняется переход на актуальный релиз RouterOS 7.14.3, где пакет WiFiWave2 автоматически заменяется новой реализацией wifi-qcom.

Доступ к настройкам осуществляется через меню System → Packages.

После установки актуальной версии прошивки в списке System → Packages должны остаться лишь два элемента — routeros и wifi-qcom. Наличие этой пары подтверждает успешное обновление, на котором будет строиться дальнейшая конфигурация CAPsMAN wifi-qcom.

Настройка CAPsMAN wifi-qcom Channel, частотные каналы

Раздел WiFi Channel содержит описание параметров радиомодулей, подключаемых к CAPsMAN и получающих от него конфигурацию частотных каналов.

Настройка выполняется в меню WiFi → Channel.

Band — выбор стандарта (a, n, ax и др.).
Channel Width — ширина радиоканала.
Frequency — перечень частот. Для диапазона 2,4 ГГц рекомендуются непересекающиеся каналы 1 (2412 МГц), 6 (2437 МГц) и 11 (2462 МГц); их использование обеспечивает максимальную производительность. В диапазоне 5 ГГц поле Frequency оставляется пустым, чтобы точка доступа выбирала частоту автоматически.

Skip DFS Channels = 10 min CAC отключает использование DFS-каналов. При включённых DFS-каналах точка доступа может выбрать частоту, не распознаваемую клиентскими устройствами (смартфонами, ноутбуками).

Настройка CAPsMAN wifi-qcom Security, установка пароля

WPA3 применяет 192-битное шифрование, тогда как WPA2 использует 128-битный ключ. Для стабильной работы бесшовного роуминга Wi-Fi 6 рекомендуется оставить WPA2; эффективность решения подтверждена испытаниями на RouterOS 7.13.2. Настройка выполняется в WiFi → Security:

Authentication Types — WPA2-PSK (AES);
Group Key Update — 00:20:00;
Passphrase — WiFi_PASSWORD.

Опции ft=yes и ft-over-ds=yes активируют бесшовный роуминг; доступны, начиная с RouterOS 7.13.

Протокол Fast Transition (FT, 802.11r) обеспечивает централизованное хранение ключей шифрования для всех точек доступа. В спецификации предусмотрен режим over-DS, при котором обмен ключами выполняется через проводной сегмент сети. При переключении возможна кратковременная задержка голосовых сервисов, однако сессия не прерывается.

В режиме over-DS клиент остаётся связанным с текущей точкой доступа (Wi-Fi-1) и параллельно проходит аутентификацию на соседней точке (Wi-Fi-2) через распределённую систему. Контроллер CAPsMAN оценивает параметры обоих соединений и, обнаружив, что условия на Wi-Fi-2 лучше, инициирует переключение без разрыва сеанса. На практике именно так проявляется бесшовный роуминг.

настройка capsman mikrotik добавим пароль для wifi

Настройка CAPsMAN wifi-qcom Datapath

Весь трафик маршрутизируется во внутренний мост (Bridge). Начиная с RouterOS 7.13 раздел Datapath переработан, опция Local Forwarding удалена. Изменение влияет на конфигурацию основной и гостевой беспроводных сетей. Параметры задаются в меню WiFi → Datapath.

Настройка CAPsMAN wifi-qcom Configuration

В разделе Configuration собирается единая конфигурация радиомодулей на базе заранее подготовленных шаблонов. Такой подход размещает параметры по специализированным секциям: пароли — в Security, частотные планы — в Channels. Основное достоинство — удобство дальнейшего администрирования.

Настройка находится в WiFi→Configuration

При недостаточной автоматической мощности передатчика 2,4 ГГц рекомендуется установить Country = Latvia или United States; выбор этих профилей разрешает использование максимального Tx Power. Пункт no_country_set, присутствовавший в прежних версиях CAPsMAN, в текущем списке стран отсутствует.

добавление в конфигурацию datapath 2 ГГц

добавление в конфигурацию datapath 5 ГГц

Настройка CAPsMAN wifi-qcom Provisioning

Раздел Provisioning задаёт правила, по которым конфигурации CAPsMAN wifi-qcom распределяются между точками доступа. При наличии в устройстве радиомодуля Wi-Fi 2 ГГц AX основным профилем назначается конфигурация 2G.

Параметры задаются в WiFi → Provisioning.

Supported Bands — 2 GHz AX / 5 GHz AX; правило применится к соответствующему радиомодулю.
Action — create dynamic enabled; интерфейсы формируются автоматически.
Master Configuration — 2G / 5G; базовый профиль, подготовленный в разделе Configuration.
Slave Configuration — используется для реализации Multi-SSID.
Name Format — 2G-%I; указанная маска добавляется к именам новых интерфейсов.

Включить CAPsMAN wifi-qcom в MikroTik AX

Меню конфигурации: WiFi → Remote CAP → CAPsMAN

Enabled = yes — активирует контроллер бесшовной сети CAPsMAN на основе пакета wifi-qcom.
Update Policy = require-same-version — к контроллеру допускаются только точки доступа с идентичной версией прошивки, что предотвращает несовместимость при обновлениях. Если архитектура CPU у точки доступа совпадает с архитектурой контроллера, необходимая прошивка скачивается автоматически; при различии архитектур или ручной установке прошивки подключение к CAPsMAN блокируется.

Подключить роутер MikroTik AX к новому CAPsMAN wifi-qcom

Устройство MikroTik hAP ax2 содержит два радиомодуля — 2 GHz AX и 5 GHz AX. Оба адаптера регистрируются в CAPsMAN wifi-qcom по особому сценарию, потому что сам контроллер размещён на том же маршрутизаторе, что и обслуживаемые точки доступа. Эта схема отличается от стандартного подключения внешних точек доступа.

Указать путь к CAPsMAN wifi-qcom в MikroTik AX

Раздел WiFi → CAP содержит ключевые параметры подключения внутренних радиомодулей к контроллеру.

Enabled — yes: активируется режим CAP; точка доступа переходит в поиск и регистрацию у CAPsMAN wifi-qcom.
CAPsMAN Addresses — 127.0.0.1: задаётся локальный адрес контроллера, размещённого на том же маршрутизаторе.

Включить CAPsMAN для wifi1 и wifi2

Manager выставляется в значение capsman, что заставляет интерфейсы wifi1 и wifi2 применять параметры контроллера CAPsMAN на базе wifi-qcom. Настройка выполняется в меню WiFi → WiFi → wifi1 / wifi2.

Выгрузка настроек нового CAPsMAN wifi-qcom на базе MikroTik AX

/interface bridge
add admin-mac=CA:D7:EC:B6:EC:B2 auto-mac=no name=Bridge-LAN port-cost-mode=\
short
/interface wifi channel
add band=2ghz-ax disabled=no frequency=2412,2437,2462 name=2G
add band=5ghz-ax disabled=no name=5G skip-dfs-channels=10min-cac
/interface wifi datapath
add bridge=Bridge-LAN disabled=no name=Datapath
/interface wifi security
add authentication-types=wpa2-psk disabled=no ft=yes ft-over-ds=yes group-key-update=20m \
name=Security passphrase=10203040
/interface wifi configuration
add channel=2G datapath=Datapath disabled=no mode=ap name=2G security=\
Security ssid=nastrojka-mikrotik.ukr
add channel=5G datapath=Datapath disabled=no mode=ap name=5G \
security=Security ssid=nastrojka-mikrotik.ukr
/interface bridge port
add bridge=Bridge-LAN interface=ether1 internal-path-cost=10 path-cost=10
add bridge=Bridge-LAN interface=ether2 internal-path-cost=10 path-cost=10
add bridge=Bridge-LAN interface=ether3 internal-path-cost=10 path-cost=10
add bridge=Bridge-LAN interface=ether4 internal-path-cost=10 path-cost=10
add bridge=Bridge-LAN interface=ether5 internal-path-cost=10 path-cost=10
/interface wifi cap
set caps-man-addresses=127.0.0.1 enabled=yes
/interface wifi capsman
set enabled=yes interfaces="" package-path="" require-peer-certificate=no \
upgrade-policy=require-same-version
/interface wifi provisioning
add action=create-dynamic-enabled disabled=no master-configuration=2G \
name-format=2G-%I supported-bands=2ghz-ax
add action=create-dynamic-enabled disabled=no master-configuration=5G \
name-format=5G-%I supported-bands=5ghz-ax
/ip dhcp-client
add interface=Bridge-LAN
/system clock
set time-zone-name=Europe/Kiev
/system identity
set name=MikroTik-CAPsMAN
/system note
set show-at-login=no

Подключение точки доступа MikroTik AX к новому CAPsMAN wifi-qcom

В качестве точки доступа используется MikroTik cAP ax. Устройство автоматически загружает конфигурацию Wi-Fi 6 с контроллера CAPsMAN (wifi-qcom), а все Ethernet-порты переводятся в режим LAN.

Сброс настроек на точке доступа MikroTik AX

Сброс выполняется через меню System → Reset Configuration.

Создание Bridge на точке доступа MikroTik AX

Параметр Admin. MAC Address назначается идентичным значению MAC Address; при наличии нескольких точек доступа требуется контролировать уникальность адреса для каждого устройства. Настройка выполняется в меню Bridge → Bridge.

настройка wifiwave2 создание bridge на точке доступа

Добавление портов в Bridge для точки доступа MikroTik AX

Все Ethernet-порты включаются в мост Bridge. Обычно ether1 используется как uplink через PoE-инжектор, а ether2 выполняет роль LAN-интерфейса.

Настройка находится в Bridge→Ports

Настройка идентификатора для точки доступа MikroTik AX

Идентификаторы упрощают инвентаризацию: каждой точке доступа назначается уникальное имя либо общий префикс по месту установки или типу оборудования. Параметр настраивается в System → Identity.

добавление идентификатора для точки доступа

Настройка DHCP client на точке доступа MikroTik AX

Сетевые параметры точка доступа получает автоматически от центрального маршрутизатора MikroTik через DHCP, в результате чего MikroTik AX приобретает собственный IP-адрес и полноценный доступ к Интернету.

Обновление прошивки на точке доступа MikroTik AX

Прошивка точки доступа должна быть не ниже RouterOS 7.13; иначе несовпадение пакетов WiFiWave2 (устаревший) и wifi-qcom (новый) может вызвать сбои сети. Рекомендуется устанавливать актуальный релиз RouterOS. При политике Update Policy = require-same-version устройство с прошивкой 7.14.3 корректно подключится к CAPsMAN версии 7.14.2.

Настройка находится в System→Packages→Check For Updates

Создать Datapath на точке доступа MikroTik AX

Профиль Datapath, привязанный к основной беспроводной сети, перенаправляет весь трафик точки доступа во внутренний LAN-мост.
Параметр задаётся в меню WiFi → Datapath.

mikrotik ax добавление datapath на точке доступа

Подключиться к CAPsMAN wifi-qcom

Настройка выполняется в меню WiFi → CAP.
Параметр Discovery Interfaces устанавливается в значение Bridge-LAN, благодаря чему на перечисленных интерфейсах запускается автоматический поиск контроллера CAPsMAN wifi-qcom.

mikrotik ax включить поиск контроллера на точке доступа

Использовать CAPsMAN Manager

Параметр Manager в меню WiFi → wifi1 / wifi2 → Configuration устанавливается в значение capsman. Такой выбор заставляет интерфейсы принимать конфигурацию от контроллера CAPsMAN wifi-qcom.

настройка wifiwave2 активировать capsman

настройка wifiwave2 активировать capsman для 2 ГГц

Использовать Local Forwarding

Для активации local forwarding каждому радиоинтерфейсу (wifi1 и wifi2) присваивается локальный профиль Datapath. Настройка выполняется в меню WiFi → wifi1 / wifi2 → Datapath.

mikrotik ax выбор datapath на точке доступа для 2 ГГц

mikrotik ax выбор datapath на точке доступа для 5 ГГц

Обзор списка подключенных точек доступа MikroTik AX

При появлении точки доступа в списке, но без активного управления CAPsMAN wifi-qcom, выполняется команда Provisioning. Команда применяет к MikroTik AX актуальную конфигурацию контроллера CAPsMAN wifi-qcom. Путь к настройке: WiFi → Radio → Provision.

mikrotik ax список подключенных устройств

Выгрузка настроек точки доступа MikroTik AX

/interface bridge
add admin-mac=16:0A:05:A2:6A:A5 auto-mac=no name=Bridge-LAN
/interface wifi datapath
add bridge=Bridge-LAN disabled=no name=Datapath
/interface wifi
# managed by CAPsMAN
# mode: AP, SSID: nastrojka-mikrotik.ukr, channel: 5500/ax/Ceee
set [ find default-name=wifi1 ] configuration.manager=capsman .mode=ap \
datapath=Datapath disabled=no
# managed by CAPsMAN
# mode: AP, SSID: nastrojka-mikrotik.ukr, channel: 2412/ax/Ce
set [ find default-name=wifi2 ] configuration.manager=capsman .mode=ap \
datapath=Datapath disabled=no
/interface bridge port
add bridge=Bridge-LAN interface=ether1
add bridge=Bridge-LAN interface=ether2
/interface wifi cap
set discovery-interfaces=Bridge-LAN enabled=yes
/ip dhcp-client
add interface=Bridge-LAN
/system clock
set time-zone-name=Europe/Kiev
/system identity
set name=MikroTik-cAP-ax
/system note
set show-at-login=no

Тест скорости нового CAPsMAN wifi-qcom на MikroTik AX

По сравнению с MikroTik AC, новый CAPsMAN на MikroTik AX демонстрирует достойные показатели.

Тест скорости MikroTik AC

Тест скорости MikroTik AX

Совместимость между MikroTik AX и AC, обзор пакетов RouterOS v7

Появление оборудования AX продемонстрировало, что обратной совместимости со старой линейкой AC/N не предусмотрено, хотя именно она ранее доминировала при создании бесшовных Wi-Fi-сетей. При замене маршрутизатора на модель с Wi-Fi 6 возникает комплекс дополнительных задач, главная из которых — интеграция оставшейся инфраструктуры AC/N, поскольку новый роутер MikroTik не обслуживает устаревшие устройства.

Начиная с RouterOS 7.13 в систему внесены изменения, обеспечившие двустороннюю совместимость. Пакет wifiwave2 удалён и использовался лишь в версиях до 7.12.1 для точек с поддержкой 802.11ax. Вместо него введён пакет wifi-qcom, предназначенный для устройств MikroTik AX. Для прежних моделей AC/N (ARM-платформа) добавлен пакет wifi-qcom-ac, который обеспечивает их интеграцию с новой линейкой AX. Пакет wireless сохранён для работы с оборудованием на процессорах, отличных от ARM, и для поддержки классического CAPsMAN.

Для выбора подходящего беспроводного пакета RouterOS тип устройства сопоставляется со следующими правилами:

Новые точки доступа MikroTik AX работают с пакетом wifi-qcom.
Модели MikroTik AC/N на базе ARM применяют wifi-qcom-ac; если после обновления до RouterOS ≥ 7.13 остался пакет wireless, его удаляют и затем устанавливают wifi-qcom-ac.
Устройства MikroTik AC/N с архитектурой MIPSBE несовместимы с wifi-qcom и на RouterOS ≥ 7.13 используют только wireless.
Маршрутизаторы без радиомодуля, например MikroTik RB3011UiAS-RM, допускают установку wifi-qcom, wireless или одновременное использование обоих пакетов.

Настройка CAPsMAN начинается с промежуточного обновления прошивки до RouterOS 7.12.1, подготавливающего систему к конвертации беспроводных пакетов. Далее выполняется переход на RouterOS 7.13 и выше; процедура обязательна для всех устройств вне зависимости от стандарта Wi-Fi. После обновления в Winbox отображаются два раздела с тремя пунктами меню:

WiFi — управление радиомодулями MikroTik AX и конфигурацией CAPsMAN для AX-устройств;
Wireless → CAPsMAN — классический интерфейс CAPsMAN без изменений;
Wireless → Wireless — настройка радиомодулей MikroTik AC/N.

Рассматриваются два сценария перехода:

Схема 1. CAPsMAN-контроллер на базе процессора ARM, управляющий существующей инфраструктурой AC/N, дополняется точками доступа MikroTik AX с архитектурой ARM64.
Схема 2. Уже настроенный CAPsMAN для устройств MikroTik AX (ARM64) интегрирует точки доступа MikroTik AC/N, работающие на процессоре ARM.

Подключение MikroTik AX к CAPsMAN пакета wireless, общая бесшовная сеть

Первый сценарий описывает пошаговое обновление маршрутизатора MikroTik RB3011UiAS-RM до RouterOS 7.13. На устройстве уже задействован CAPsMAN с пакетом wireless и подключены точки доступа MikroTik wAP. Цель — добавить в эту инфраструктуру новую точку доступа MikroTik AX, сохранив совместную работу с существующей сетью AC/N.

Визуальное представление меню CAPsMAN

Обновление прошивки до RouterOS 7.12.1

Настройка находится в System→Packages

mikrotik ac обновление прошивки до routeros v.7.12.1

После первичного обновления MikroTik RB3011UiAS-RM изменений не выявлено; рекомендуется продолжить процедуру и установить RouterOS версии 7.13 либо выше.

Обновление прошивки до RouterOS 7.13.2

Настройка находится в System→Packages

mikrotik ac обновление прошивки до routeros v.7.13.2

После обновления в списке пакетов автоматически появляется wireless, а в меню Winbox добавляется раздел WiFi для управления точками доступа MikroTik AX. Классический интерфейс CAPsMAN теперь располагается по пути Wireless → CAPsMAN.

Визуальное представление нового меню CAPsMAN

подключвение mikrotik ax к mikrotik ac перенос меню capsman

Предыдущая конфигурация CAPsMAN для точек MikroTik AC/N перенесена без ошибок, поэтому далее создаётся профиль CAPsMAN, рассчитанный на оборудование MikroTik AX. Подробный разбор не требуется, поскольку порядок действий совпадает с типовой настройкой AX-устройств. Следует помнить, что в смешанной среде бесшовный роуминг невозможен: протоколы 802.11r/k/v доступны только в пакете wifi-qcom, а MikroTik wAP не входит в поддерживаемый список. На маршрутизаторе MikroTik RB3011UiAS-RM будут работать две независимые конфигурации CAPsMAN: одна в разделе Wireless для устройств N-класса, другая в разделе WiFi для точек AX/AC.

Выгрузка настроек CAPsMAN пакета wireless

/interface bridge
add admin-mac=CA:D7:EC:B6:EC:B2 auto-mac=no name=Bridge-LAN port-cost-mode=\
short
/interface wifi channel
add band=2ghz-ax disabled=no frequency=2412,2437,2462 name=2G
add band=5ghz-ax disabled=no name=5G skip-dfs-channels=10min-cac
/interface wifi datapath
add bridge=Bridge-LAN disabled=no name=Datapath
/interface wifi security
add authentication-types=wpa2-psk disabled=no ft=yes ft-over-ds=yes group-key-update=20m \
name=Security passphrase=10203040
/interface wifi configuration
add channel=2G datapath=Datapath disabled=no mode=ap name=2G security=\
Security ssid=nastrojka-mikrotik.ukr
add channel=5G country=Latvia datapath=Datapath disabled=no mode=ap name=5G \
security=Security ssid=nastrojka-mikrotik.ukr
/interface bridge port
add bridge=Bridge-LAN interface=ether1 internal-path-cost=10 path-cost=10
add bridge=Bridge-LAN interface=ether2 internal-path-cost=10 path-cost=10
add bridge=Bridge-LAN interface=ether3 internal-path-cost=10 path-cost=10
add bridge=Bridge-LAN interface=ether4 internal-path-cost=10 path-cost=10
add bridge=Bridge-LAN interface=ether5 internal-path-cost=10 path-cost=10
/interface wifi cap
set caps-man-addresses=127.0.0.1 enabled=yes
/interface wifi capsman
set enabled=yes interfaces="" package-path="" require-peer-certificate=no \
upgrade-policy=require-same-version
/interface wifi provisioning
add action=create-dynamic-enabled disabled=no master-configuration=2G \
name-format=2G-%I supported-bands=2ghz-ax
add action=create-dynamic-enabled disabled=no master-configuration=5G \
name-format=5G-%I supported-bands=5ghz-ax
/ip dhcp-client
add interface=Bridge-LAN
/system clock
set time-zone-name=Europe/Kiev
/system identity
set name=MikroTik-CAPsMAN
/system note
set show-at-login=no

Заключительным этапом остаётся зарегистрировать точку доступа MikroTik AX в контроллере; после успешного подключения интеграция устройств серий AC/N и AX считается завершённой.

Подключение MikroTik AC к CAPsMAN на MikroTik AX, обратная совместимость

Задача совместной работы CAPsMAN на устройствах MikroTik AX и MikroTik AC/N остаётся приоритетной. Раздел «Совместимость между MikroTik AX и AC» подтвердил полную совместимость этих линеек при использовании пакетов wifi-qcom и wifi-qcom-ac. В демонстрационной схеме контроллером бесшовной сети служит маршрутизатор MikroTik hAP ax3, а точкой доступа — MikroTik cAP ac.

Обновить прошивку на точке MikroTik AС

Для работы точки доступа MikroTik cAP ac требуется пакет wifi-qcom-ac. Если после обновления прошивки активен пакет wireless, выполняются следующие действия:

Удалить wireless через System → Packages → Uninstall.
Загрузить пакет wifi-qcom-ac из архива Extra packages для соответствующей архитектуры CPU (ARM).
Скопировать файл во внутреннюю память устройства через Files → Download.
Выполнить перезагрузку точки доступа.

После перезапуска точки доступа следует убедиться, что перечень установленных пакетов соответствует требуемому виду:

Создать CAPsMAN Channel для MikroTik AС

Добавить CAPsMAN Configuration для MikroTik AС

Добавить CAPsMAN provisioning для MikroTik AС

Проверить подключение точки MikroTik AС на CAPsMAN

Проверить подключение к CAPsMAN на точке MikroTik AС

Итоговая беспроводная инфраструктура строится на пакетах wifi-qcom и wifi-qcom-ac. Сеть функционирует бесшовно, все элементы управляются централизованно через CAPsMAN.

Настройка гостевого WiFi CAPsMAN в сети MikroTik AX

Появление устройств MikroTik AX не уменьшило спрос на гостевые сети Wi-Fi 6, однако в RouterOS v7 схема их конфигурирования полностью изменилась. Ключевым условием при развёртывании гостевого Wi-Fi 6 через CAPsMAN является обязательное применение VLAN.

Гостевая сеть Wi-Fi — это отдельная беспроводная инфраструктура с доступом лишь к Интернету. Решение размещается в частных и корпоративных средах для повышения безопасности, поскольку клиентские устройства изолируются в самостоятельном сегменте и не взаимодействуют с локальной сетью.

Использование VLAN при организации гостевой сети Wi-Fi 6 разгружает контроллер CAPsMAN. С архитектурной точки зрения такое разделение является распространённой практикой и реализуется в решениях UniFi и TP-Link Omada.

Недостаток VLAN-сегментации в CAPsMAN заключается в обязательном применении управляемых коммутаторов уровня L2/L3 между маршрутизатором MikroTik AX и точкой доступа Wi-Fi 6. Требование распространяется лишь на топологии, где точка доступа подключается не напрямую к маршрутизатору.

В качестве примера рассматривается упрощённая сеть Wi-Fi 6 на базе маршрутизатора MikroTik AX, к которому точка доступа Wi-Fi 6 подключена напрямую в порт Ethernet. Настройка VLAN на оборудовании MikroTik рекомендуется выполнять путём присвоения VLAN ID локальному мосту (Bridge).

Добавление гостевого VLAN

Перейдем в раздел Interfaces→VLAN

Включить VLAN в Bridge

Мост Bridge-LAN принимает кадры с VLAN-тегами на всех подключённых интерфейсах. Параметр включается в меню Bridge → Bridge → VLAN.

Определить тегированные порты

Все LAN-порты переводятся в режим trunk (тегированные); тот же VLAN-тег назначается и самому мосту Bridge-LAN.

mikrotik ax определяем тегированные порты

Назначить IP для шлюза гостевого WiFi

Перейдем в IP→Addresses

Настроить DHCP сервер для гостевого WiFi

В разделе запускается мастер DHCP Server, формирующий полный набор параметров для автоматической выдачи сетевых настроек клиентам гостевой сети Wi-Fi. Путь: IP → DHCP Server.

mikrotik ax укажем диапозон адресов для dhcp

Включить DNS сервер для гостевого WiFi

Меню IP → DNS.

Allow Remote Requests — yes: маршрутизатор MikroTik принимает и обрабатывает все входящие DNS-запросы.

Правила Firewall для гостевого WiFi

Для гостевой сети открыт лишь доступ в Интернет и разрешены DNS-запросы к маршрутизатору MikroTik; любые другие пакеты блокируются. Параметры задаются в разделе IP → Firewall → Filter Rules.

Добавить NAT для гостевого WiFi

Правило NAT агрегирует частные IP-адреса в один публичный, обеспечивая выход сетевых узлов в Интернет. Параметр задаётся в меню IP → Firewall → NAT.

Добавить Datapath для гостевого WiFi

Конфигурация выполняется в меню WiFi → Datapath.

Bridge назначается на Bridge-LAN, направляя весь трафик в основной мост.
Client Isolation включается (yes), изолируя беспроводных клиентов друг от друга.
VLAN ID устанавливается на 100, задавая тег для гостевой сети MikroTik.

Добавить пароль для гостевого WiFi

Настройка находится в WiFi→Security

mikrotik ax включить правила бесшовного роуминга

Настроить конфигурацию для гостевого WiFi

В разделе WiFi → Configuration создаётся профиль гостевой сети MikroTik, формируемый из заранее подготовленных шаблонов по тому же принципу, что и основная сеть.

capsman mikrotik ax добавим название ssid

capsman добавить datapath в configuration

Обновить правила Provisioning для гостевого WiFi

В поле Slave Configuration выбирается профиль Guest. После применения параметра на точке доступа создаётся дополнительный виртуальный интерфейс, обслуживающий гостевую сеть. Операцию нужно повторить для радиомодулей 2 GHz AX и 5 GHz AX в разделе WiFi → Provisioning.

На стороне точки доступа Wi-Fi 6 дополнительных настроек VLAN не требуется: устройство автоматически наследует гостевую конфигурацию от CAPsMAN.

Выгрузка CAPsMAN wifi-qcom включая гостевую сеть WiFi 6

/interface bridge
add admin-mac=CA:D7:EC:B6:EC:B2 auto-mac=no name=Bridge-LAN port-cost-mode=\
short vlan-filtering=yes
/interface vlan
add interface=Bridge-LAN name=Vlan-100 vlan-id=100
/interface wifi channel
add band=2ghz-ax disabled=no frequency=2412,2437,2462 name=2G
add band=5ghz-ax disabled=no name=5G
/interface wifi datapath
add bridge=Bridge-LAN disabled=no name=Datapath
add bridge=Bridge-LAN client-isolation=yes disabled=no name=Datapath-Guest \
vlan-id=100
/interface wifi security
add authentication-types=wpa2-psk disabled=no ft=yes ft-over-ds=yes \
group-key-update=20m name=Security passphrase=10203040
add authentication-types=wpa2-psk disabled=no ft=yes ft-over-ds=yes \
group-key-update=20m name=Security-Guest passphrase=10203040
/interface wifi configuration
add channel=2G datapath=Datapath disabled=no mode=ap name=2G security=\
Security ssid=nastrojka-mikrotik.ukr
add channel=5G country=Latvia datapath=Datapath disabled=no mode=ap name=5G \
security=Security ssid=nastrojka-mikrotik.ukr
add datapath=Datapath-Guest disabled=no name=Guest security=Security-Guest \
ssid=nastrojka-mikrotik.ukr-Guest
/ip pool
add name=Ip-Pool-Guest ranges=192.168.254.2-192.168.254.254
/ip dhcp-server
add address-pool=Ip-Pool-Guest interface=Vlan-100 name=DHCP-Guest
/interface bridge port
add bridge=Bridge-LAN interface=ether1 internal-path-cost=10 path-cost=10
add bridge=Bridge-LAN interface=ether2 internal-path-cost=10 path-cost=10
add bridge=Bridge-LAN interface=ether3 internal-path-cost=10 path-cost=10
add bridge=Bridge-LAN interface=ether4 internal-path-cost=10 path-cost=10
add bridge=Bridge-LAN interface=ether5 internal-path-cost=10 path-cost=10
/interface bridge vlan
add bridge=Bridge-LAN tagged=ether1,ether2,ether3,ether4,ether5,Bridge-LAN \
vlan-ids=100
/interface wifi cap
set caps-man-addresses=127.0.0.1 enabled=yes slaves-datapath=Datapath
/interface wifi capsman
set enabled=yes interfaces="" package-path="" require-peer-certificate=no \
upgrade-policy=require-same-version
/interface wifi provisioning
add action=create-dynamic-enabled disabled=no master-configuration=2G \
name-format=2G-%I slave-configurations=Guest supported-bands=2ghz-ax
add action=create-dynamic-enabled disabled=no master-configuration=5G \
name-format=5G-%I slave-configurations=Guest supported-bands=5ghz-ax
/ip address
add address=192.168.254.1/24 interface=Vlan-100 network=192.168.254.0
/ip dhcp-client
add interface=Bridge-LAN
/ip dhcp-server network
add address=192.168.254.0/24 dns-server=192.168.254.1 gateway=192.168.254.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=drop chain=forward dst-address=175.10.0.0/24 src-address=\
192.168.254.0/24
add action=accept chain=forward dst-address=!175.10.0.0/24 src-address=\
192.168.254.0/24
add action=accept chain=input dst-port=53 in-interface=Vlan-100 protocol=udp
add action=drop chain=forward in-interface=Vlan-100
add action=drop chain=input in-interface=Vlan-100
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Bridge-LAN src-address=\
192.168.254.0/24
/system clock
set time-zone-name=Europe/Kiev
/system identity
set name=MikroTik-CAPsMAN
/system note
set show-at-login=no

CAPsMAN – настройка CAP VLAN, пример для пакета wifi-qcom-ac

Текущая топология основана на маршрутизаторе MikroTik hAP ax2 с пакетом wifi-qcom и настроенной гостевой сетью Wi-Fi 6. При подключении точки доступа MikroTik cAP ac XL (пакет wifi-qcom-ac) появляется сообщение «vlan-id configured but interface does not support assigning vlans», из-за чего профиль гостевой сети не применяется. Исправление заключается в синхронизации версии прошивки точки доступа и обновлении параметров CAPsMAN.

Обновление CAPsMAN для гостевой сети пакета wifi-qcom-ac

В CAPsMAN создаётся профиль Guest-AC, дублирующий конфигурацию гостевой сети Guest для устройств MikroTik AX. Отличие только одно — в разделе Datapath удаляется параметр VLAN ID. Путь к настройке: WiFi → Datapath.

В которой нужно убрать VLAD ID, как на примере:

В CAPsMAN создаётся конфигурация Guest-AC — полная копия профиля Guest для гостевой сети MikroTik AX, но без параметра VLAN ID в разделе Datapath. Пункт меню: WiFi → Datapath.

Выгрузка настроек CAPsMAN с поддержкой CAP VLAN пакета wifi-qcom-ac

/interface bridge
add admin-mac=46:C6:C2:80:80:39 auto-mac=no name=Bridge-LAN vlan-filtering=\
yes
/interface vlan
add interface=Bridge-LAN name=Vlan-100 vlan-id=100
/interface wifi channel
add band=2ghz-n disabled=no name=2G-N
add band=5ghz-ac disabled=no name=5G-AC skip-dfs-channels=10min-cac
/interface wifi datapath
add bridge=Bridge-LAN disabled=no name=Datapath
add bridge=Bridge-LAN client-isolation=yes disabled=no name=Datapath-Guest-AC
/interface wifi security
add authentication-types=wpa2-psk disabled=no ft=yes ft-over-ds=yes \
group-key-update=20m name=Security
/interface wifi configuration
add channel=2G-N datapath=Datapath disabled=no mode=ap name=2G security=\
Security ssid=nastrojka-mikrotik.ukr
add datapath=Datapath-Guest-AC disabled=no mode=ap name=Guest-AC security=\
Security ssid=nastrojka-mikrotik.ukr-Guest
add channel=5G-AC datapath=Datapath disabled=no mode=ap name=5G security=\
Security ssid=nastrojka-mikrotik.ukr
/interface bridge port
add bridge=Bridge-LAN interface=ether3
add bridge=Bridge-LAN interface=ether1
add bridge=Bridge-LAN interface=ether2
add bridge=Bridge-LAN interface=ether4
add bridge=Bridge-LAN interface=ether5
/interface bridge vlan
add bridge=Bridge-LAN tagged=Bridge-LAN,ether3 vlan-ids=100
/interface wifi capsman
set enabled=yes package-path="" require-peer-certificate=no upgrade-policy=\
require-same-version
/interface wifi provisioning
add action=create-dynamic-enabled disabled=no master-configuration=2G \
name-format=2G-%I slave-configurations=Guest-AC supported-bands=2ghz-n
add action=create-dynamic-enabled disabled=no master-configuration=5G \
name-format=5G-%I slave-configurations=Guest-AC supported-bands=5ghz-ac

Гостевая сеть CAPsMAN пакета wifi-qcom-ac для MikroTik AC

Параметр Name задаётся произвольно; в поле Master указываются соответствующие интерфейсы Wi-Fi для диапазонов 2 ГГц и 5 ГГц. Настройка выполняется через меню WiFi → WiFi.

wifi qcom ac создать статические wifi интерфейсы для 5 ГГц

wifi qcom ac создать статические wifi интерфейсы для 2 ГГц

Включить VLAN filtering на Bridge интерфейсе

гостевая сеть пакета wifi qcom ac включить фильтрацию vlan на bridge

Добавить гостевые wifi интерфейсы в Bridge и указать VLAN ID

Настройка находится в Bridge→ Bridge→VLAN

добавить 5 ГГц wifi интерфейс в bridge и включить vlan-filtering

добавить 2 ГГц wifi интерфейс в bridge и включить vlan-filtering

Настроить tagged и untagged порты

Тегированным назначается интерфейс, по которому поступает VLAN-тег гостевой сети; в рассматриваемой конфигурации это ether1. Параметр задаётся в разделе Bridge → VLANs.

Использовать статические интерфейсы как slave

Статические интерфейсы wifi22 и wifi12, созданные ранее, назначаются гостевыми в CAPsMAN. Настройка выполняется через WiFi → WiFi → CAP.

В интерфейсе CAPsMAN устройство, работающее с пакетом wifi-qcom-ac, отображается следующим образом:

На точке доступа MikroTik cAP ac XL, использующей пакет wifi-qcom-ac, беспроводные интерфейсы отображаются следующим образом:

Выгрузка настроек точки доступа MikroTik AC на пакете wifi-qcom-ac

/interface bridge
add admin-mac=D2:E0:4D:D6:1F:93 auto-mac=no ingress-filtering=no name=\
Bridge-LAN port-cost-mode=short vlan-filtering=yes
/interface wifi datapath
add bridge=Bridge-LAN disabled=no name=Datapath
/interface wifi
# managed by CAPsMAN
# mode: AP, SSID: nastrojka-mikrotik.ukr, channel: 2412/n/Ce
set [ find default-name=wifi1 ] configuration.manager=capsman .mode=ap \
datapath=Datapath disabled=no
# managed by CAPsMAN
# mode: AP, SSID: nastrojka-mikrotik.ukr, channel: 5500/ac/Ceee
set [ find default-name=wifi2 ] configuration.manager=capsman .mode=ap \
datapath=Datapath disabled=no
# managed by CAPsMAN
# mode: AP, SSID: nastrojka-mikrotik.ukr-Guest
add configuration.mode=ap disabled=no mac-address=4A:A9:8A:F2:9A:D0 \
master-interface=wifi1 name=wifi12
add configuration.mode=ap disabled=no mac-address=4A:A9:8A:F2:9A:D1 \
master-interface=wifi2 name=wifi22
/interface bridge port
add bridge=Bridge-LAN ingress-filtering=no interface=ether1 \
internal-path-cost=10 path-cost=10
add bridge=Bridge-LAN ingress-filtering=no interface=ether2 \
internal-path-cost=10 path-cost=10
add bridge=Bridge-LAN interface=wifi12 pvid=100
add bridge=Bridge-LAN interface=wifi22 pvid=100
/interface bridge vlan
add bridge=Bridge-LAN tagged=ether1 untagged=wifi12,wifi22 vlan-ids=100
/interface wifi cap
set discovery-interfaces=Bridge-LAN enabled=yes slaves-static=yes
/ip dhcp-client
add interface=Bridge-LAN

Настройка CAPsMAN на роутере MikroTik

В демонстрационной конфигурации применяется маршрутизатор MikroTik RB4011iGS+5HacQ2HnD-IN и точки доступа MikroTik cAP ac. Для развёртывания CAPsMAN подходит любой маршрутизатор с лицензией RouterOS Level 4 и выше, а точкой доступа может служить любое устройство поколений MikroTik AC или MikroTik N.

В примере применяется RouterOS v7 с пакетом wireless; процедура конфигурирования полностью совпадает с RouterOS v6. Предполагается, что MikroTik RB4011iGS+5HacQ2HnD-IN переведён в базовую конфигурацию: создан сегмент LAN и настроен выход в Internet через WAN-интерфейс (подробности см. в руководстве «Базовая конфигурация MikroTik Routerboard»). Описываемая схема CAPsMAN поддерживает подключение радиомодулей 2,4 ГГц и 5 ГГц.

Включить CAPs Manager

Контроллер CAPsMAN следует активировать первым. После включения точки доступа автоматически обнаруживают контроллер. Рекомендуется уравнять версии прошивок всех CAP-устройств, поскольку несоответствие версий CAPsMAN и точек доступа способно вызвать нестабильную работу беспроводной сети.

Раздел: CAPsMAN → CAP Interface → Manager

Enabled — yes: активирует контроллер CAPsMAN.
Upgrade Policy — require-same-version: допускаются к подключению лишь точки доступа, у которых версия RouterOS идентична прошивке контроллера.

настройка mikrotik capsman включить контроллер

Настройка CAPs Channel

Раздел CAPsMAN → Channels задаёт рабочие параметры радиомодулей: выбираются частотные диапазоны, устанавливается ширина полосы и определяется перечень поддерживаемых стандартов Wi-Fi.

Выбор параметров Control Channel Width и Extension Channel раскрывает всю доступную полосу радиоканала: в диапазоне 2,4 ГГц активируются ширины 20/40 МГц, в диапазоне 5 ГГц — 20/40/80 МГц. На практике такие настройки обеспечивают пропускную способность порядка 30–40 Мбит/с на 2,4 ГГц и 150–200 Мбит/с на 5 ГГц.

При большом числе соседних точек доступа на частоте 2,4 ГГц ширину канала рекомендуется ограничить до 20 МГц. Для этого в параметре Extension Channel устанавливается значение disabled.

Раздел CAPsMAN → Channels формирует радиопрофили.

Name — идентификатор набора частот. В примере используются метки 2G и 5G, которые соотносятся с диапазонами 2,4 ГГц и 5 ГГц.
Frequency — перечень каналов. Для профиля 2G заданы неперекрывающиеся каналы 1 (2412 МГц), 6 (2437 МГц) и 11 (2462 МГц); ограничение повышает эффективность работы на 2,4 ГГц. Для профиля 5G частота подбирается автоматически, поскольку диапазон содержит достаточное число свободных каналов и обеспечивает высокую скорость.
Skip DFS Channels = yes отключает применение DFS-каналов, исключая ситуации, когда выбранная точкой доступа частота не обнаруживается клиентскими устройствами.

Настройка CAPs Datapath

Параметры CAPsMAN → Datapaths определяют способ перенаправления клиентского трафика и поддерживают два рабочих режима:

Local Forwarding — при неактивном флажке трафик обрабатывается контроллером CAPsMAN; при активном флажке обработка выполняется самой точкой доступа. Опция разгружает центральный маршрутизатор, так как виртуальные интерфейсы CAPsMAN размещаются во внутреннем мосту. Для гостевых сетей режим не рекомендуется: пакеты проходят лишь уровень L2, обходят мост, не задействуют процессор и исключают применение правил межсетевого экранирования.

При включении Local Forwarding значение поля Datapaths → Bridge игнорируется.

Опция Client To Client Forwarding отвечает за обмен трафиком между беспроводными клиентами: в гостевой сети её рекомендуется отключать, в локальной — оставлять включённой.

Профиль Datapath сконфигурирован так, чтобы пакеты беспроводных клиентов сразу передавались во внутренний мост LAN аналогично проводным соединениям; опция Client-to-Client Forwarding включена, что разрешает обмен трафиком между Wi-Fi-клиентами. Параметры задаются в разделе CAPsMAN → Datapaths.

Настройка CAPs Security

Раздел CAPsMAN → Security Cfg. хранит параметры аутентификации клиентов; здесь задаётся пароль доступа к сети. Остальные опции безопасности предварительно установлены в значения, рекомендуемые для всех Wi-Fi-сетей.

Раздел CAPsMAN → Security Cfg. задаёт параметры аутентификации и шифрования беспроводной сети.

Authentication Types: WPA2-PSK (AES).
Encryption / Group Encryption: aes-ccm.
Group Key Update: 00 : 20 : 00.
Passphrase: WiFi_PASSWORD.

Указанные значения обеспечивают надёжное шифрование и подходят для большинства Wi-Fi-сетей.

Настройка CAPs Configuration

В разделе CAPsMAN → Configurations создаются два независимых профиля, каждый из которых лишь ссылается на уже подготовленные шаблоны Channels, Datapaths и Security Cfg. Ниже приводится пример для диапазона 2,4 ГГц; настройка профиля для 5 ГГц выполняется теми же шагами, отличаясь только указанием канального шаблона 5 G.

При возникновении ошибки «country does not match locked» при подключении точки доступа к CAPsMAN поле Country должно оставаться пустым.

Раздел CAPsMAN → Configurations содержит профиль для диапазона 2,4 ГГц.

Name: 2G — произвольный идентификатор конфигурации.
Mode: ap — радиоинтерфейс работает в режиме точки доступа.
SSID: Home — имя беспроводной сети.
Country: no_country_set — региональные ограничения частот и мощности не применяются.
Installation: any — профиль совместим с любым типом установки.
HT Tx Chains / HT Rx Chains: 0,1,2,3 — задействуются четыре приёмопередающих цепи (MIMO 4×4) при условии аппаратной поддержки на точке доступа.
Channel: 2G — ссылка на ранее созданный шаблон с частотами 2,4 ГГц.
Datapath: Datapath — ссылка на шаблон маршрутизации трафика.
Security: Security — ссылка на шаблон параметров аутентификации.

Настройка CAPs Provisioning

В разделе CAPsMAN → Provisioning создаётся правило, которое сопоставляет значение параметра hw-supported-modes каждого радиомодуля с заданным шаблоном. При совпадении к модулю автоматически применяется профиль, заданный в Master Configuration. Этот этап завершает настройку CAPsMAN.

Action определяет поведение CAPsMAN при сопоставлении правила:

create-disabled — создаются статические интерфейсы, привязанные к радиомодулю; радио остаётся выключенным, пока интерфейс не будет активирован вручную.
create-enabled — формируются статические интерфейсы, сразу переведённые в рабочее состояние.
create-dynamic-enabled — создаются динамические интерфейсы, автоматически запускающие радио.
none — радиомодуль остаётся без изменений.

name-format задаёт шаблон формирования имени CAP-интерфейса:

cap — имя по умолчанию;
identity — используется системное имя устройства;
prefix — применяется заданный префикс;
prefix-identity — комбинация префикса и системного имени.

Параметры располагаются в меню CAPsMAN → Provisioning.

/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=XX \
frequency=2412,2437,2462 name=2G
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=XXXX name=\
5G skip-dfs-channels=yes
/caps-man datapath
add client-to-client-forwarding=yes local-forwarding=yes name=Datapath
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
group-key-update=20m name=Security passphrase=11223344
/caps-man configuration
add channel=2G country=no_country_set datapath=Datapath installation=any \
mode=ap name=2G rx-chains=0,1,2,3 security=Security ssid=Home tx-chains=\
0,1,2,3
add channel=5G country=no_country_set datapath=Datapath installation=any \
mode=ap name=5G rx-chains=0,1,2,3 security=Security ssid=Home tx-chains=\
0,1,2,3
/caps-man manager set enabled=yes upgrade-policy=require-same-version
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
5G name-format=prefix-identity name-prefix=5G
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
2G name-format=prefix-identity name-prefix=2G

Настройка подключения к CAPsMAN, режим CAP на точке доступа

После завершения конфигурирования CAPsMAN начинается настройка самой точки доступа. В качестве точки доступа выступает либо отдельное устройство, либо встроенный Wi-Fi-модуль маршрутизатора.

Версия RouterOS на точке доступа должна полностью совпадать с версией прошивки контроллера CAPsMAN.

Перед началом работы конфигурация точки доступа сбрасывается до заводского состояния. Операция выполняется только для подключаемой точки доступа Wi-Fi.

Нередко точка доступа поставляется с заводской конфигурацией, включающей настройки, аналогичные маршрутизатору. В таком состоянии активный фильтр пакетов на первом порту Ethernet блокирует все входящие соединения, что затрудняет доступ к веб-интерфейсу.

Двухпортовые модели (например, MikroTik cAP ac). При наличии двух портов точку доступа следует подключить обоими кабелями в локальную сеть; вход по второму порту обеспечит прямой доступ к настройкам.
Подключение по беспроводной сети. Заводская прошивка обычно создаёт открытую сеть с SSID вида MikroTik-XXXXXX; подключение к ней предоставляет доступ к интерфейсу управления.
Перевод в режим CAP аппаратной кнопкой. Удерживание кнопки Reset около 10 с переводит устройство в режим CAP, после чего оно автоматически регистрируется у контроллера CAPsMAN.

Создание Bridge на точке доступа

Admin. MAC Address копируется из поля MAC Address. При использовании нескольких точек доступа необходимо обеспечить уникальность адресов; при совпадении проще всего создать дополнительный мост (Bridge) с иным MAC-адресом.

Настройка выполняется в Bridge → Bridge.

настройка capsman bridge для точки доступа

Добавление портов в Bridge для точки доступа

В Bridge нужно добавить все Ethernet порты.
Настройка находится в Bridge→Ports

Присвоить идентификатор для точки доступа

Идентификатор облегчает ориентирование в перечне подключаемого оборудования и упрощает мониторинг клиентов Wi-Fi (смартфонов, ноутбуков).
Путь к параметру: System → Identity.

Подключить точку доступа к CAPsMAN

Это заключительный этап, в ходе которого радиомодули маршрутизатора MikroTik или отдельной точки доступа переадресуются под управление CAPsMAN.

Настройка выполняется в Wireless → WiFi Interfaces

Enabled = yes — активировать режим CAP;
Interfaces — указать Wi-Fi-интерфейсы, которые подключаются к CAPsMAN;
Discovery Interfaces — задать интерфейс, использующий широковещательный поиск контроллера;
Bridge — выбрать локальный мост, в который динамически добавляются интерфейсы точки доступа.

/interface bridge
add admin-mac=02:F1:41:46:46:E2 auto-mac=no name=Bridge-LAN
/interface wireless
# managed by CAPsMAN
# channel: 2462/20-eC/gn(28dBm), SSID: Home, CAPsMAN forwarding
set [ find default-name=wlan1 ] ssid=MikroTik station-roaming=enabled
# managed by CAPsMAN
# channel: 5200/20-eCee/ac(14dBm), SSID: Home, CAPsMAN forwarding
set [ find default-name=wlan2 ] ssid=MikroTik station-roaming=enabled
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=Bridge-LAN interface=ether1
add bridge=Bridge-LAN interface=ether2
/interface wireless cap
set bridge=Bridge-LAN discovery-interfaces=Bridge-LAN enabled=yes interfaces=\
wlan1,wlan2
/ip dhcp-client
add disabled=no interface=Bridge-LAN
/system identity
set name=MikroTik-AP-3
/system scheduler
add name=Auto-Upgrade-Firmware on-event="if ([/system routerboard get current-\
firmware] != [/system routerboard get upgrade-firmware]) do={\r\
\n/system routerboard upgrade\r\
\n:delay 15s\r\
\n/system reboot\r\
\n}" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-time=startup
/tool romon
set enabled=yes

Успешное подключение точки доступа отображается следующим образом: оба радиомодуля Wi-Fi управляются контроллером CAPsMAN, что подтверждается соответствующим скриншотом.

Список интерфейсов CAP на контроллере CAPsMAN отображает все подключённые радиомодули.

capsman список радио интерфейсов на контроллере wifi

Список подключенных клиентов будет иметь соответствующий вид

Список CAP-интерфейсов даёт возможность оперативно определить, к какой точке доступа подключён клиент, и оценить уровень сигнала, что помогает своевременно выявлять потенциальные проблемы со скоростью.

Обновление настроек CAPsMAN для подключенных точек доступа MikroTik WiFi

Изменения конфигурации CAPsMAN распространяются на подключённые точки доступа Wi-Fi автоматически. Если автоматическое применение не произошло, обновление вызывается вручную через команду Provision.

Настройка: CAPsMAN → Remote CAP → Provision

capsman обновление конфигурации на точках доступа

Настройка CAPsMAN для быстрого роуминга в MikroTik

«Бесшовный роуминг» — условный термин, который не соответствует реальной работе оборудования MikroTik серий AC и N с пакетом wireless. Контроллер CAPsMAN и точки доступа не инициируют перевод клиента между ячейками; сменой точки доступа управляет сам клиент.

MikroTik обеспечивает лишь быстрое переключение, минимизируя потерю сигнала. Этот механизм реализуется правилом, которое отключает клиента при падении уровня RSSI; после обрыва устройство самостоятельно подключается к точке с более сильным сигналом.

Важно учитывать, что указанное правило нередко вызывает необоснованные обращения в службу поддержки: стабильная передача данных на скорости 1 Мбит/с предпочтительнее, чем безуспешные попытки подключения к точке доступа при уровне сигнала ниже −85 dBm.

add action=reject allow-signal-out-of-range=10s disabled=no interface=all \
signal-range=-120..-85 ssid-regexp=""

Настройка CAPsMAN часть 2.

РЕКОМЕНДАЦИЯ

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.