Mikrotik в декабре 2023 года порадовал своих пользователей свежим обновлением, в котором появилось кое-что, чего многие ждали уже очень давно. В новой прошивке были разделены драйверы WiFi для некоторых старых точек доступа (CAP AC) и новых, с поддержкой WiFi6. Таким образом, им удалось уместить драйвер Wave2 на устройствах с ПЗУ 16 мегабайт. А это значит, что старые тарелочки CAP AC теперь можно добавить в новый CAPsMAN вместе с точками серии AX и управлять всем этим “сервизом” в одном месте.
Спешу напомнить, что пакет Wave2 изначально представлял собой родной драйвер от Qualcomm, позволяющий использовать больше возможностей одноимённых чипов. На самодельном драйвере от Mikrotik отсутствовала поддержка WPA3, шифрование управляющих фреймов (802.11w), beamforming, MuMIMO, а так же, правильный роумниг (802.11r/k/v).
А теперь, перейдём к настройке capsman. В составе моего комплекта Mikrotik hap ax3 и две штуки Mikrotik CAP Ac.
- Для начала, обновите прошивку всего оборудования до версии >= 7.13. И сразу-же, качаем архив с дополнительными расширениями, в которых будет лежать пакеты с драйверами. Для hap ax (ARM64) пакет называется wifi-qcom-7.13-arm64.npk. Для cap ac (ARM) выбираем wifi-qcom-ac-7.13-arm.npk. После обновления на cap ac нужно будет грохнуть пакет “Wireless”. В результате, список пакетов на CAP Ac должен выглядеть так:
- Отныне в Quick Set нет шаблона CAP, так что всё придётся делать самостоятельно. :) Очищаем конфигурацию точек, настраиваем им сеть удобным способом (по DHCP или вручную, без разницы). Обязательно заранее создаём бридж для wifi, поскольку Datapath в новом капсмане пока-что этот функционал не работает. В моём случае клиенты wifi идут сразу в локалку, так что я просто добавляю в бридж все интерфейсы точки доступа.
- Переходим в раздел WiFi, нажимаем на CAP, ставим галочку Enabled и прописываем всё необходимое. В моём случае, для надёжности я добавил IP контроллера.
Ранее в этом окошке нужно было указывать, какими wifi интерфейсами будет управлять контроллер. Теперь это делается немного иначе. Переходим на вкладку Configuration в настройках каждого интерфейса и ставим Manager: capsman.
Внимание! Когда мы настраиваем WiFi интерфейсы на самом контроллере (если таковые там имеются), там нужно указать Manager: local, иначе они не поднимутся! Дело в том, что в новой версии RouterOS профайлы для локальных и удалённых интерфейсов создаются в одном и том же месте и локальные интерфейсы могут спокойно подцепить то, что мы создали для capsman. По сути, это ничего не меняет, за исключением того, что в списке беспроводных интерфейсов к локальным не будет применены шаблоны имён из провиженинга и они останутся со своими оригинальными именами.
За исключением всяких мелочей, типа изменения пароля, отключения ненужных сервисов и т.п., настройку точки можно считать завершённой. Проделываем то же самое на других точках и переходим к контроллеру.
- Заходим на микротик, где у нас будет контроллер (в моём случае hap ax3), переходим в меню WiFi и жмём на вкладку Channel. Поскольку в нашем зоопарке есть
разные звериточки с 802.11ax и те, которые его не поддерживают, мы создаём отдельные настройки для разных устройств.
В конфиге для 2.4ГГц N я специально зарезал ширину канала до 20MHz, чтобы обеспечить более надёжную связь с устройствами умного дома. Увы, их дешёвые wifi модули порой очень капризны. Но кроме IoT в моём доме уже никто на 802.11n не сидит, так что всё ОК. Если в ширину канала ничего не вписать, интерфейс пример наибольшее из поддерживаемых значение.
Частота для 5ГГц всего одна и самая нижняя в диапазоне. Почему? Да просто потому, что 5G не шибко дальнобойный, в следствии чего у меня дома практически ни с чем не пересекается. В то же время, частота 5180 с расширением 80MHz гарантированно поддерживается любым клиентом, умеющим в 802.11ac. Попытка поставить автовыбор практически всегда для меня заканчивалась проблемами. С каналами разобрались? Едем дальше…
- Переходим в Security и создаём нужные профайлы. В зависимости от поставленных целей можно создать либо один общий, либо несколько. Я разделил их на 2G и 5G.
Поскольку клиенты для 5G гарантированно поддерживают WPA3 и Management protection, им можно смело оставить только такой вид авторизации и шифрования. В случае с 2G следует обеспечить совместимость со старыми устройствами.
- Топаем в Datapath и жмём на плюсик.
Тут есть нюанс. Указанный в Datapath бридж будет актуален только для локальных интерфейсов контроллера. Все удалённые, как я и писал выше, следует вручную добавить в бриджи прямо на самих точках, иначе ничего работать не будет.
- Переходим в Configuration и собираем конфиги.
* В manager НИЧЕГО не ставим! Не знаю в чём смысл, но если я указываю там capsman – ничего вообще не работает.
** SSID для точек типа ax 5G и ac или ax 2G и n можно смело ставить одинаковые. Однако, разнодиапазонные точки лучше разнести, поскольку иногда встречаются устройства, которые хоть и умеют в 5ГГц, но работают там крайне нестабильно. У меня так произошло с Яндекс станцией… По этому, лучше бы мне заранее знать, куда чего подключается.
Включаем Fast transition. Это, собственно и есть наш долгожданный роуминг.
Не буду показывать скрины всех конфигураций. Их просто нужно построить по аналогии с первым, выбрав соответствующие интерфейсам профайлы в каждой из вкладок.
- Переходим в Provisioning и создаём элементы для каждого типа транспондеров. Назначаем мастер конфигурацию, как говорится, каждому по возможностям и потребностям. :)
- Идём в Remote CAP, жмём на CAPsMAN и включаем его. По желанию и требованиям безопасности, можно включить сертификаты. Это на случай, если в вашей сети внезапно объявится какой-то левый контроллер, который перетянет точки на себя. Ну или чтобы из контроллера вместе с конфигурацией не стянули пароль от WiFi наверное? Не знаю, передаётся ли он в открытом виде, возможно я просто несу полную чушь. ;)
Внимание! Ежели вы всё-же решились использовать сертификаты, сначала получите их в каждую точку путём подключения к капсману с параметром Certificat: request (настраивается в каждой точке, в CAP), затем укажите вместо request полученный сертификат и только потом включайте “Require Peer Certificate” в контроллере.
Если что-то пошло не так, убедитесь в том, что фаерволл на контроллере не блокирует порты 5246,5247 udp, по которым точки подключаются к капсману.
Если всё в порядке, во вкладке Radios будет примерно такая картина
А в Registration, в свою очередь, появится информация, кто из клиентов подключился к какой из точек.
Кажется, всё! :) Бегаем по помещению, проверяем как работает…
P.S.
А если ты, мой дорогой читатель, нашёл в статье ошибки и неточности – пиши мне в телегу! Контакты есть в соответствующем разделе этого сайта.