Настройка CAPsMAN и точек доступа.

[Slavi]

Спасибо.
Но не подсаежете, какой пункт в провижене отвечает за "подтягивание" имени? (в интерфейсе)
Про мак адреса знаю, даже тестил так, что на каждую точку/модуль назначал свою SSID , что б точно знать что она работает.

Но вот сегодня сбросил настройки, и настроил заново. Стало все ок. даже не ругается на то, что "диапазон не тот".
Но с именами вышла незадача.

[Slavi]

Все , кажется понял!
В настройках провижена Name Format !
установить identity

[Slavi]

Вах. выдохнул.
В общем настройку capsman осилил.
Занавес.)))) все получается, все работает. Последовательность действий уже в кровь впиталась.

[mafijs]

Вах. выдохнул.
В общем настройку capsman осилил.
Занавес.)))) все получается, все работает. Последовательность действий уже в кровь впиталась.

И в самом деле нет там ничего сложного. Не так ?

[Slavi]

И в самом деле нет там ничего сложного. Не так ?

Да так все.
По сути, все это время структурировал знания сетевых технологий. причем самые базовые.
Скорее сложность от неопнимания процессов. Когда разберешься как это работает - становится все просто.

[romsandj]

Я с нуля настраивал данную систему для 3-х этажного особняка (тут на форуме в др. ветке есть мои отписки, рисунки, вопросы) Система строилась на основе:
RB2011 - контролер
hAP Lite - сАРы по дому

Проект был "долгостроем". Первым делом была проведена радиоразветка (чтобы вычислить кол-во и место расположения сАР) потом были проложены кабельная продукция. И я ушел в стадию ожидания. Начал "на столе" собирать систему. И, т.к. понимал, что времени ждать много, а все настройки не так уж и просто запомнить, я вел дневник. Чисто для себя, чтобы потом, если что, вспомнить что да как.
Вот мои действия:

 

1) Полный сброс на заводские
2) Обновление прошивки
3) Запускаем новый (v 3.16) winbox
4) Авторизация по MAC стандартная
5) Меняю главного пользователя системы (убираю admin, указываю *******)
6) Ставлю пароль (***********)

7) Стандартные манипуляции по приведению в порядок интерфейсов:
а) Ether1-master, Ether2-5 slave (Все это LAN-GB)
b) Ether6-master, Ether7-9 slave (Все это LAN-MB)
c) Ether10 объявил WAN, на нем поднял PPPoE-Client
d) Создал Bridge1-local, в него загнал Ether1, Ether6, Wlan1
e) Задал адрессность бриджу 192.168.3.1/24 Адрес роутера 192.168.3.1
8) Создал пул адресов для выдачи клиентам из диапазона 192.168.3.10-99 (pool1-main)
10) Настроил DHCP-server из pool1-main, повесил его на bridge1-local
11) Настроил DNS, им будет сам роутер 192.168.3.1

12) Настройка Wlan1:
a) ap bridge
b) 2GHz-B/G/N
c) 20MHz
d) 2412 (1 канал)
e) SSID: ##########
f) Протокол 802.11
13) Настройка пароля Wi-Fi (***********)

14) Отключаю "не нужные" сервисы. Оставляю только доступ по Winbox. (IP/Services)

15) Настроил временную зону, добавил SNTP-сервер

16) Т.к. будет статический адрес, настраиваем Firewall сл. образом:
a) Сразу обрубаем инвалидные подключения на WAN
add chain=input action=drop connection-state=invalid in-interface=MTS-internet

b) Обрубаем доступ из BOGON сетей (предварительно добавляем в Address List эти BOGON сети) на WAN
add chain=input action=drop src-address-list=BOGON in-interface=MTS-internet

c) Разрешаем ICMP(пинг) на всех интерфейсах
add chain=input action=accept protocol=icmp

d) Разрешаем установленные, зависимые подключения на WAM
add chain=input action=accept connection-state=established,related in-interface=MTS-internet

e) Разрешаем доступ к MIKROTIK "из вне" по WinBox (т.е. доступ к микротику через и нтернет по "белому" IP-адресу)
add chain=input action=accept protocol=tcp in-interface=MTS-internet dst-port=8291

f) Обрубаем все остальные (не разрешенные ранее) соединения на WAN
add chain=input action=drop in-interface=MTS-internet

g) Обрубаем форвадинг инвалидов на WAN
add chain=forward action=drop connection-state=invalid in-interface=MTS-internet

h) Разрешаем форвадинг установленных и зависимых соединений на WAN
add chain=forward action=accept connection-state=established,related in-interface=MTS-internet

i) Обрубаем любой другой форвадинг (не указанный ранее) на WAN
add chain=forward action=drop in-interface=MTS-internet

17) Прописываем правило для доступа в интернет из нашей сети (это делаем в NAT)
add chain=srcnat action=maquerade out-interface=MTS-internet

18) Еще несколько действий, повышающих безопасность:
a) Проверяем сервис SNMP в IP/SNMP. По-умолчанию он выключен.
b) Проверяем сервис RoMon в Tools/RoMon (нечего светить лишнее в сети). По-умолчанию он тоже отключен.
с) В Tools/MAC Server отключаем Mac Ping Server. Это отключит отклик устройства при пинге через MAC-ping.
/tool mac-server ping set enabled=no
d) Не используйте службу FTP, встроенную в Mikrotik без ограничений по подсетям! При Telnet-подключении все
наблюдают такое приглашение: "220 MikroTik-951 FTP server (MikroTik 6.38) ready". А это значит мы можем
показать злоумышленнику производителя, модель устройства и его версию RouterOS. Кроме того, при взломе
ftp-аккаунта злоумышленник сможет скопировать бекап и вытянуть пароль, выполнить файл типа rsc.auto,
загрузить свои пакеты типа "system" и прочее.

19) Настройка CAPsMAN (Control Access Point Manager) RB2011:
a) В главном окне выбираем CAPsMAN, в нем ставим галочку Enable (больше нигде галки не ставим)
b) Идем в закладку Security Cfg, настраиваем авторизацию доступа к нашей будущей сети
c) Идем в закладку Datapath, выбираем имя, выбираем в поле Bridge наш, сделанный ранее по интерфейсам, бридж.
Ставим галку над Client to Client Forwading (Чтоб клиенты ТД друг друга видели)
d) Идем в закладку Chanel и прописываем те каналы, которые планируем использовать своими ТД. Можно прописать
все доступные каналы, а потом, при эксплуатации перенастраивать ТД на соотвествующий канал.
e) Идем в Configurations (Конфигурации):
---Wireless---
1) Name: (Имя конфы)
2) Mode: (Режим работы) - ap
3) SSID: (Имя сети) -
4) Внизу ставим галки напротив всех HT Tx
---Chanel---
1) Выбираем на каком канале будет работать CAPsMAN
---Datapath---
1) Выбираем ранее созданный datapath
---Security---
1) Выбираем ранее созданный профиль security
f) Идем в Provisioning
1) Поле Radio MAC оставляем 00:00:00:00:00:00 (это значит, что настройки распространятся на все ТД в сети)
2) поле Hw.Supported Modes выбираем режим работы конфигурации (gn). Если нужно еще и -b- отдельно добавляем строчку
3) Поле Action устанавливаем Create dinamic: enebled (Создать интерфейс автоматически)
4) Поле Master configuration выбиравем нашу созданную конфу
5) Поле Name Format указываем как будет именоваться созданный интерфейс
----------------------------------------

После всего этого настройка закончена, над нашим wi-Fi интерфейсом должны появиться 2 красные строки, что wi-fi управляется CAPsMAN-ом

Система запущена в эксплуатацию. Пока всё работает. Есть ньюансы. в частности потребовалось иметь сигнал вафли в месте где изначально не планировалось. А уже отделка выполнена, кабель проложить для новой сАР - не вариант. Вот думаю, может PowerLine замутить. Но так система завелась сразу, и настраивал я ее впервые по манам из тырнета.

В моих настройках, в фаерволе, прописаны некоторые правила, которые "под вопросом" - нужны ли!? В частности, про BOGON-сети. Тут описано подробно про это. Так называемые "Лженастройки". http://mikrotik.vetriks.ru/wiki/%D0%9C% ... 0%BB%D0%B0

[Slavi]

Спасибо , весьма познавательно. Правда, большинство из написанного вижу впервые. Но возьму на заметку. Есть теперь что почитать)))

[boris.slepov]

Slavi у меня ваша же бывшая проблема. Поднимал капсмана. Сначала все получилось, но была какая-то проблема с IP. Смарты подключенные к созданной капсманом сетке не получали IP. Но это полбеды. После этого рухнул сам капсман и я не могу его поднять. Вместо двух надписей появляется лишь одна как было у вас. Соответственно wlan гаснет пока не отключишь капсмана и не активируешь его вручную.