CAPsMAN - повсеместное внедрение и плюшки

Обсуждение оборудования и его настройки
Ответить
EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Доброго времени суток, Форумчане =)
Если тема не нова, прошу модеров "грохнуть" это сообщение)) Просто хотел поделиться опытом внедрения CAPsMAN во всех своих точках.
По поводу настройки контроллера и подключении ведомых точек ничего писать пока что не буду, т.к. на просторах тырнетов есть статьи со скриншотами и прочим. Хочу только сделать парочку дополнений и объяснить плюшки, которые даёт нам CAPsMAN
===
1) Если ведомая точка и контроллер находятся в одной физической сети и одной подсети, то их можно "спарить" через discovery interfaces и ip адрес контроллера указывать не нужно. Но я любитель отключать всяческие "neightbor" и прочие "соседские" фишки, поэтому привязывал ведомые точки к контроллеру строго по IP адресу. Привязку можно осуществлять как и на внешний белый адрес, так и на внутренний через любой vpn.
1.2) Не забываем у каждого микротика менять идентификатор, это позволит легко видеть кто на какой точке подключился ( system=>identity через винбокс)
1.3) В настройках контроллера при создании конфигурации для всех точек, не забываем ставить галку на параметре "Local Forwarding", иначе весь трафик со всех ведомых точек потечёт на контроллер... Фишка может быть полезна для централизованного управления трафиком, но мне оно не надо...
2) Самая главная плюшка CAPsMAN лично для меня, это единый "Access List" непосредственно на контроллере. До этого я собирал листы в один файл и заливал его во все свои точки. Теперь этого делать не нужно. Acess List заполняется в самом CAPsMAN на вкладке Acess List, а не как раньше в Wireless=>Acess List... Не забудьте делать комментарии в ацес листе, т.к. зарегистрировавшиеся пользователи заполняют вкладку "Registration Table" с теми же камментариями, что и в ацесс листе... Классная плюшка
3) Каждому пользователю в ацесс листе мы можем назначить персональный пароль на подключение, таким образом даже проявив свою душевную доброту, поделившись паролем от сети, доброжелатель не подключит никого к вашей сети.
4) Так же в CAPsMAN на вкладке "Registration Table" мы видим какой МАК адрес сколько съел трафика (а в случае заполненных камментов, то и пользователя сразу). Если цифры нам не нравятся, в ацесс листе мы можем "порубить" скорость в параметрах "AP Tx Limit" и "Client Tx Limit" или вообще не позволять клиенту подключаться к нашей сети, назначив "action=reject"
5) В центральной точке у меня стоит RB941-Ui, в него заведено два провайдера, огромная куча правил фильтрации, ната, одновременно он держил более 40 впнов и тд.... Боялся что повесив на него ещё и >20 ведомых вай-фай точек, я серьёзно нагружу его.... Пардон, нифига подобного... CAPsMAN ничего не ест... Ну или почти ничего... При 50-ти вай-файных пользователях, нагрузка на CPU как была 5-15%, так и остаётся.... Микротик не греется и ведёт себя вполне стабильно.
==============
Будут дополнительные вопросы по настройке, спрашивайте. Если чего вдруг упустил, вспомню - дополню


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Давайте пошаговую инструкцию. В стиле моего FAQ viewtopic.php?f=15&t=5972


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Ок, будет сделано =)


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Мануал:

1) "Системные" требования:
а) Каждый из Микротиков должен быть полностью настроен и обновлён до последней версии RouterOS, как это сделать, можно посмотреть тут http://forummikrotik.ru/viewtopic.php?f=15&t=5972
б) Центральная точка-контроллер не обязана иметь на борту Wireless адаптер, он может быть, а может и не быть... т.е. любой RB может выступать в роли контроллера
в) Каждая ведомая контроллером точка - просто обязана иметь на борту Wireless, иначе зачем вообще вся заморочка то?


2) Приступаем к настройке контроллера.... Для начала нужно скачать пакет CAPsMAN из раздела загрузок офСайта http://www.mikrotik.com/download
В зависимости от вашей аппаратной платформы, выбираем mipsbe, x86 и тд... В данном примере мы "танцуем" вокруг RB951Ui; RB951G и RB941.... поэтому выбираем mipsbe и качаем пакет Wireless CAPsMANv2 (На момент написания поста, там была именно эта версия... http://download2.mikrotik.com/routeros/ ... mipsbe.npk )
3) После того, как скачали пакет, закидываем его в Микротик... Это можно сделать либо через ftp, либо через винбокс => files
Идём по пути наименьшего сопротивления - на скаченном файле правый клик => копировать, переходим в раздел Files винбокса и нажимаем на кнопку вставить (обведено красным квадратиком)... Начнётся копирование
Изображение
4) После этого перезагружаем наш будущий контроллер... Можно по питанию, можно через system => reboot в винбоксе, можно через @MikroTik] >system reboot в консоли....
=
Напомню - перед всеми манипуляциями необходимо обновить RouterOS до последней версии.
=
5) После перезагрузки в Winbox появляется чудеснейшая кнопка CAPsMAN и мы естественно нажмём на неё, затем нажимаем на Manager, ставим галку enabled, затем ОК
Изображение

6) Приступаем к настройкам "управлятора")))
Для правильной идентификации точек, прежде всем нужно заменить стандартное имя "Mikrotik" на что либо другое через System=>Identity в винбоксе.
В окне CAPsMAN переходим на вкладку "Confidurations", жмакаем на плюсик, и вводим настройки, которые будут раздаваться на ведомые точки...
Изображение
Изображение
Изображение
На скрине выше, галочка ставится для того, чтобы трафик со всех ведомых точек не перенаправлялся на контроллер... Если Вам необходимо фильтровать трафик централизовано - убирайте галочку и в строке Bridge - выбирайте бридж вашего контроллера. В этом случае каждый подключенный абонент будет получать адрес от DHCP сервера Вашего контроллера. Что при условии разнесённых точек не очень удобно. Если все точки находятся в одном локации - можете поэксперементировать ;)
Изображение
Далее жмём ОК и у нас появляется настройка, которая будет передаваться на ведомые точки. Можно создать несколько настроек и передавать на ведомые точки разные настройки.

7)Переходим на вкладку Provisioning, нажимаем + и делаем всё как на картинке
Изображение
на строке "Name Format" выбираем на свой вкус, но я выбираю именно так для удобной идентификации ведомых точек и подключенных абонентов. В строке префикс можно написать что угодно.... Нажимаем ОК и настройка контроллера закончена.
==========================================
Для настройки ведомой точки в неё аналогично нужно закинуть пакет CAPsMAN и сделать ребут.
После чего в винбоксе нажать на кнопку Wireless, затем тыкнуть кнопку CAP, поставить галочку Enabled, выбрать Ваш ведомый интерфейс wlan, вбить адрес контроллера (внутренний или "белый" внешний)... Если точки находятся в одной сети, точка может найти контроллер через Discovery Interfaces - просто выбираем интерфейс, через который она должна его искать))) Но не по советски это... Далее выбираем в какой бридж добавлять подключенных абонов.
Изображение
Нажимаем кнопку ОК.... После чего над wlan интерфейсом появится соответствующая надпись
Изображение
После того, как ведомая точка "стянет" настройки с контроллера эта надпись изменится на
Изображение
Всё... Квест комплит... Делаем все эти манипуляции на каждой нашей ведомой точке...
=====================================
Возвращаемся к контроллеру... Нажимаем кнопку CAPsMAN и на вкладке Interfaces мы видим все подключенные к контроллеру точки
Изображение
Примерно такую же картину мы будем наблюдать на вкладке Radio, только там будут МАКи наших wireless адаптеров.
Самое интересное начинается на вкладке Registation Table
Изображение
Таблица будет заполнятся по мере подключения устройств. На скрине мы видим одного подключенного абона, жмакаем по нему правой кнопкой => Cope to Acess List.... Затем переходим на вкладку Acess List, находим нашего абона, и комментируем как нам угодно. Можно вбить имя абона, можно ещё что-то... После этого в таблице регистрации этот абон появится уже с Вашим камментом. Это очень удобно. Если Мы хотим запретить доступ абона к нашей сети, в ацесс листе два раза левый клик и на строчке Action, выбираем Reject.... Так же на этой вкладке есть много плюшек
а) Мы можем задать рамки мощности сигнала... Т.е. если абон слишком далеко - он не сможет подключиться. Цифры можно выяснить исключительно опытным путём...
б) Мы можем, как написано чуть выше, разрешить или запретить доступ абона к точке
в) Можем назначить индивидуальный пароль для абона
г) Можем порезать ему скорость... гггг
Изображение
=========
После наполнения ацесс листа на вкладке Registrarion Table мы увидим вот такую картину (сегодня выходной и абонов не очень много)
Изображение
В таблице видно к какой точке подключен абон, к какому имени сети, его мак-адрес, скорость подключения, мощность сигнала, время подключения и его трафик в пакетах и байтах....
===============
На этом мануал закончен, будут доп вопросы - пишите
Последний раз редактировалось EdkiyGluk 30 май 2015, 17:41, всего редактировалось 4 раза.


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Просьба к Модератору - закрипите плззз мои ссылки в виде картинок, что-то у меня не получилось(((


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Все просто отлично написано, и еще раз огромное спасибо Вам за щедрость и труд...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Поправил ссыль


Аватара пользователя
GDragon
Сообщения: 80
Зарегистрирован: 20 ноя 2014, 15:48

Шикарно! Наверное стоит оформить в отдельный топик как инструкцию а то потеряется...


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Отдельный топик не знаю, не вижу необходимости, а прилепить тему - это я сделал...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
kmsjan
Сообщения: 3
Зарегистрирован: 31 авг 2015, 15:53

Приветствую!
CAPsMAN хорош...но!
Подскажите!
Wireless > wlan1 > Advanced Mode > вкладка Advanced - тут есть параметры
Например hw-retries, disconnect timeout, On fail retry time
Как изменить их для точек, которые под управление CAPsMAN?

Как вариант - отключить интерфейс от CAPsMAN и изменить их, потом подключить к нему обратно.
Но потом [admin@ap-master] > interface wireless print advanced показывает совсем не то, что настроено в CAPsMAN.
Поэтому, скорее всего , это не работает.
Спасибо!


Ответить