MikroTik и CAPsMAN: настройка для тех, кто делает это раз в 15 лет

Я не специалист по MikroTik. Совсем. Если вы — опытный пользователь, который знает все тонкости CAPsMAN, закройте эту статью прямо сейчас: дальше будет рассказ о том, как человек, редко сталкивающийся с этой технологией, наступал по очереди кажется на все возможные грабли.

А вот если вы тоже настраиваете CAPsMAN раз в несколько лет и хотите сэкономить время — эта статья для вас.

Шаг 1. Выбор пакета для работы с Wi‑Fi

За работу Wi‑Fi в MikroTik отвечают четыре пакета:

1. Wireless — самый старый, но до сих пор поддерживается. Единственный вариант для устройств с архитектурой mips и старых версий (например, MikroTik 802.11ac/802.11n).

2. WiFiWave2 — более современная версия.

3. wifi-qcom и 4. wifi-qcom-ac — выполняют схожие функции, но работают на разных архитектурах. Например, на cAP ac запустился только wifi-qcom-ac.

Важный нюанс: в Интернете пишут, что при последовательном обновлении прошивки пакет Wireless должен автоматически заменяться на более новую версию. Но у меня это не прокатило. Поэтому советую другой путь: открываете System - Packages, там жмете Check for updates, но обновлять ничего не надо, закрываете это окно и видите список пакетов, доступных для установки. Не все из них обязаны работать, но попробовать установить можно любой: пакет либо установится, либо нет, но ничего не сломает.

Полезные ссылки:

• Официальная документация: 
  https://help.mikrotik.com/docs/spaces/ROS/pages/1409149/AP+Controller+CAPsMAN

• Практическое руководство: 
  https://mikrotiklab.ru/nastrojka_capsman_routerosv7_1

Шаг 2. Основные сущности в настройках CAPsMAN

Чтобы настроить CAPsMAN, создайте на соответствующих вкладках следующие сущности:

1. Channel — настройки каналов и частот.

2. Datapath — выбор моста для добавления интерфейса.

3. Security — параметры безопасности (пароль, шифрование).

4. Configuration — объединяет предыдущие настройки и задаёт SSID сети.

5. Provisioning — определяет, куда распространять настройки CAPsMAN.

После этого:

• включите CAPsMAN на узле, где всё настроено;

• на всех остальных узлах-клиентах включите CAP (разрешите работать клиентом CAPsMAN).

Шаг 3. Где найти меню CAPsMAN?

Расположение меню зависит от версии прошивки и выбранного пакета:

• В старых версиях — пункт главного меню рядом с Wireless и Interfaces.

• При установке пакета Wireless — Wireless → Capsman.

• При установке wifi-qcom/wifi-qcom-ac — WiFi → Capsman.

Важные правила:

• Если настраиваете CAPsMAN через WiFi, все настройки должны производиться там на всех устройствах. Попытки настроить Wi‑Fi через другие меню приведут к ошибкам.

• Если используете Wireless, не настраивайте интерфейсы через меню WiFi. Если они там есть — удалите их.

• Настройки Channel в меню WiFi и Wireless — это разные сущности.

• При удалении пакета Wireless меню Wireless пропадает, а меню WiFi (при удалении wifi-qcom) остаётся.

Шаг 4. Правильная настройка

Рис. 1

При корректной настройке в свойствах интерфейса не нужно указывать ничего вручную. Если в свойствах интерфейса не подтягивается Configuration или можно задать Managed, значит, что‑то настроено неверно.

Проверьте сетевые интерфейсы: там должно быть указано, что они управляются CAPsMAN (см. рис. 1).

В меню CAPsMAN есть две полезные вкладки для диагностики:

• Remote CAP — показывает, какие точки доступа (ТД) подключены к серверу.

• Radio — отображает список всех задействованных Wi‑Fi интерфейсов со всех ТД.

Если конфигурация «подвисла», нажмите кнопку Provision — это может помочь (хотя иногда ситуация ухудшается, что тоже полезно для диагностики).

Шаг 5. Нюансы настройки

Channels (каналы)

Укажите поддерживаемые частоты, чтобы MikroTik не выходил за пределы диапазона, который поддерживают клиенты:

• фиксированная частота;

• несколько частот через запятую (например, для 2 ГГц: 2412 МГц, 2437 МГц, 2462 МГц);

• диапазон — тогда MikroTik сам выберет и при необходимости сменит частоту.

Стандарт Wi‑Fi:

• Для пакета Wireless: «2ghz‑b/g/n» и т. д.

• Для wifi-qcom: буквы A, AN, AC и т. п. Для 2 ГГц у меня заработало только с G. Для 5 ГГц значения тоже неочевидны — если знаете расшифровку, напишите в комментариях, я добавлю в статью.

Важно: если указан стандарт, не поддерживаемый устройством, конфигурация не применится. Если стандарт не указан, но есть в устройстве, конфигурация применится, но этот стандарт будет запрещён.

Datapath (путь данных)

Выберите мост, в который будет добавлен создаваемый интерфейс. Можно указать тег VLAN: тогда входящий из Wi‑Fi трафик будет тегироваться, а тегированный трафик, идущий в обратную сторону, — попадать в Wi‑Fi со снятием тега.

Рекомендация: поставьте обе галочки Forwarding.

Security Config (безопасность)

Здесь задаётся пароль (в Passphrase) и стандарт шифрования.

Советы:

• Чтобы избежать разрывов при переключении клиента между ТД, используйте единый стандарт шифрования для всех точек. Оптимальный вариант — WPA2 PSK.

• В пакете Wireless можно указать aes ccm, в wifi-qcom такой опции нет — оставьте поле пустым.

• В wifi-qcom есть вкладка FT: установив обе галочки, можно получить бесшовный роуминг. Однако эта функция требует поддержки со стороны ТД.

Configuration (конфигурация)

Укажите SSID сети и выберите остальные пункты. Не трогайте мелкие настройки — пусть они подтянутся из других вкладок.

Provisioning (предоставление)

Эта сущность определяет, куда распространяются настройки CAPsMAN. Но её можно воспринимать и как инструмент ограничения распространения.

Базовый сценарий: создайте один Provisioning, укажите в настройках Master Configuration и включите Create Dynamic Enabled. Тогда всем беспроводным интерфейсам на привязанных ТД будет назначена эта конфигурация.

Сложные сценарии: если у вас несколько конфигураций (например, для 2 ГГц и 5 ГГц), создайте два Provisioning. В Supported Modes укажите стандарты, поддерживаемые соответствующей Master Configuration. Можно также ограничить применение настроек по MAC‑адресу или другим полям.

Правило: чем меньше параметров указано в Provisioning, тем надёжнее работает система.

Master и Slave конфигурации

• Master — используется для физических интерфейсов. Например, если нужно настроить 2 ГГц и 5 ГГц на одном устройстве, оба интерфейса будут Master.

• Slave — позволяет повесить несколько виртуальных сетей на один физический интерфейс (например, гостевую и основную сеть с разными тегами VLAN).

Финальный штрих: сертификаты

Рис. 2

После настройки у меня заработала вторая ТД, но на той, где я настраивал CAPsMAN, Wi‑Fi не запустился — интерфейсы были серыми. Проблема решилась после установки сертификатов в режим auto.

Как открыть окно включения/выключения и настройки сертификатов Capsman:

1. Перейдите в Wireless → Capsman → CAP Interface (вкладка).

2. Нажмите кнопку Manager.

Да, многим CAPsMAN кажется простым, но мне — нет. Нюансы в расположении меню, выбора пакетов и настройки сущностей могут серьезно запутать. Я на настройку по сути с нуля потратил два дня и надеюсь, что благодаря этой статье кто-то другой сделает то же самое гораздо быстрее!

Если у вас есть дополнения или уточнения — пишите в комментариях. Буду рад дополнить статью полезной информацией.