Настройка CAPsMAN в RouterOS v7, бесшовный WiFi роуминг MikroTik AX и AC. Часть 2.

Настройка CAPsMAN для гостевого WiFi в MikroTik
Гостевая беспроводная сеть выполняет несколько прикладных функций.
  • Ускоренный выход в Интернет. Используется запоминающаяся парольная фраза; предварительная регистрация устройств по MAC-адресу не требуется.
  • Изоляция гостевых устройств. Смартфоны и ноутбуки получают только Интернет-доступ, что повышает защищённость корпоративного или домашнего сегмента и препятствует горизонтальному распространению вредоносного ПО.
  • Политики ограничений. Реализуются лимиты скорости, времени подключения и другие управляемые параметры.
Настройка CAPsMAN для гостевой сети включает параллельное создание профиля параметров Wi-Fi, добавление специализированных правил межсетевого экрана и установку лимитов пропускной способности.
На стороне точки доступа изменений не требуется: представленная конфигурация автоматически создаёт динамические интерфейсы гостевого сегмента, благодаря чему в списке CAP Interface одновременно отображаются элементы основной сети (LAN) и гостевой Wi-Fi.
РЕКОМЕНДАЦИЯ
Наша команда советует изучить углубленный курс по администрированию сетевых устройств MikroTik.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.
настройка гостевого wifi в capsman итоговый вид
Первоначально создаётся Bridge, в который помещаются виртуальные интерфейсы точек доступа Wi-Fi. У моста назначается собственная подсеть, что позволяет изолировать пользователей гостевой сети и применять к ним необходимые ограничения.
Создание Bridge для гостевой WiFi
Настройка находится в Bridge→Bridge
capsman создание bridge
Настройка CAPs Datapaths для гостевой WiFi
Обмен трафиком между клиентами гостевой сети блокируется параметром Client-to-Client Forwarding. Весь трафик направляется в мост Bridge-Guest на контроллере CAPsMAN, что позволяет применять правила Firewall для ограничения доступа к внутренним ресурсам.
Путь к параметрам: CAPsMAN → Datapaths.
capsman создание datapath
Настройка CAPs Security, пароль для гостевой WiFi
Рекомендуется назначать короткие и легко вводимые пароли, чтобы посетители без затруднений подключались к Wi-Fi. Параметр задаётся в CAPsMAN → Security Cfg.
capsman создание пароля
обучение по микротик
Настройка CAPs Configuration для гостевой WiFi
В разделе Configurations указываются заранее созданные шаблоны Datapath и Security, после чего задаётся SSID гостевой беспроводной сети.
capsman общая конфигурация wireless
capsman общая конфигурация datapath
capsman общая конфигурация security
Настройка CAPs Provisioning для гостевой WiFi
Конфигурацию гостевой сети необходимо назначить в поле Slave Configuration для правил Provisioning диапазонов 2 GHz и 5 GHz. Это обеспечит автоматическое создание дополнительного виртуального интерфейса гостевого Wi-Fi на каждой подключённой точке доступа. Параметр задаётся в меню CAPsMAN → Provisioning.
capsman provisioning 2g
capsman provisioning 5g 
/interface bridge
add admin-mac=1A:F2:12:3E:E7:31 auto-mac=no name=Bridge-Guest
/caps-man datapath
add bridge=Bridge-Guest name=Datapath-Guest
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
group-key-update=1h name=Security-Guest passphrase=XXXXYYYY
/caps-man configuration
add datapath=Datapath-Guest \
name=Guest security=Security-Guest ssid=W8_Guest
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
2G name-format=prefix-identity name-prefix=2G slave-configurations=Guest
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
5G name-format=prefix-identity name-prefix=5G slave-configurations=Guest
Конфигурация CAPsMAN полностью завершена; следующим этапом выступает настройка сетевой инфраструктуры для гостевого Wi-Fi-сегмента.
Настройка сети для гостевого WiFi в CAPsMAN MikroTik
Далее выполняется конфигурация адресного пространства гостевой Wi-Fi-сети по той же методике, что применена для базовой LAN-сети.
Настройка IP адреса для Bridge guest
Для этого перейдем в раздел IP→Addresses
capsman ip адреса для bridge guest
Настройка DHCP сервера для гостевого WiFi
Меню конфигурации: IP → DHCP Server.
настройка гостевого wifi capsman dhcp server
настройка гостевого wifi в capsman выбор подсети для dhcp server
capsman выбор шлюза для dhcp servera
capsman задать диапазон адресов для dhcp server
capsman выбор dns для dhcp server
capsman задать время аренды для dhcp server
курс по микротик
Настройка DNS сервера для гостевого WiFi
Использование маршрутизатора MikroTik в роли DNS-сервера — оправданное решение: оно не создаёт угроз безопасности, сокращает внешние запросы и позволяет централизованно управлять DNS-трафиком. Настройка выполняется в IP → DNS.
настройка гостевого wifi в capsman включить dns server 
/ip pool
add name=Ip-Pool-Guest ranges=174.16.0.100-174.16.0.254
/ip dhcp-server
add address-pool=Ip-Pool-Guest disabled=no interface=Bridge-Guest lease-time=\
4h name=DHCP-Guest
/ip address
add address=174.16.0.1/24 interface=Bridge-Guest network=174.16.0.0
/ip dhcp-server network
add address=174.16.0.0/24 dns-server=174.16.0.1 gateway=174.16.0.1 netmask=24
/ip dns
set allow-remote-requests=yes
Настройка Firewall для гостевого WiFi в CAPsMAN MikroTik
Настройка фильтрации трафика для гостевой сети Wi-Fi строится по принципу «Интернет-только». Клиентам разрешается доступ во внешнюю сеть и к локальному DNS-сервису маршрутизатора MikroTik, а все остальные направления блокируются. Правила, относящиеся к гостевой сети, размещаются в списке фильтра выше запрещающих правил, поскольку механизм Firewall обрабатывает записи сверху вниз.
Настройка Firewall для гостевого WiFi
Правила фильтрации, относящиеся к гостевой Wi-Fi-сети, следует размещать в списке Firewall выше правил с действием drop, применяемых к интерфейсам, отличным от LAN.
capsman правила firewall 
/ip firewall filter
add action=accept chain=forward comment=Guest-WiFi in-interface=Bridge-Guest \
out-interface-list=WAN
add action=accept chain=input dst-port=53 in-interface=Bridge-Guest protocol=\
udp
add action=drop chain=forward in-interface=Bridge-Guest
add action=drop chain=input in-interface=Bridge-Guest
Ограничение скорости для гостевого WiFi в CAPsMAN MikroTik
Чтобы уменьшить влияние гостей на пропускную способность основной сети, рекомендуется задействовать механизм ограничения скорости.
Сначала необходимо проверить наличие правила FastTrack connection в таблице Firewall и отключить его, поскольку FastTrack обходит подсистему Queues, которая отвечает за формирование очередей и контроль скорости для клиентов гостевой сети.
Отключение Faststrack connection
Перейдем в IP→Firewall
настройка гостевого wifi в capsman отключить fasttrack connection
Настройка ограничение скорости для гостевого WiFi
Для гостевой сети задаётся одинаковый лимит пропускной способности — 10 Мбит/с как на приём, так и на передачу.
Расположение параметров: Queues → Simple Queues
  • Target — подсеть, к которой применяется ограничение скорости.
  • Dst. — исходящий интерфейс доступа в Интернет.
  • Max. Limit — предельная скорость передачи данных.
настройка гостевого wifi в capsman ограничение скорости 
/queue simple
add dst=ether1 max-limit=10M/10M name=Queue-Guest-WiFi target=174.16.0.0/24
РЕКОМЕНДАЦИЯ
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.