Настройка гостевой сети CAPsMAN: подробное руководство
Понятие гостевой сети в сетевой архитектуре широко применяется в различных областях. Она позволяет создать отдельную сеть, отделенную от основной сети, и гостям предоставить доступ к интернету с ограниченными привилегиями. В этой статье мы разберемся с настройкой гостевой сети с использованием CAPsMAN — пакета маршрутизации для маршрутизаторов MikroTik.
При настройке гостевой сети с CAPsMAN мы будем работать с интерфейсом MikroTik, который занимается управлением беспроводными сетями. Для начала нужно установить CAPsMAN на маршрутизатор MikroTik и настроить его параметры. Это позволит нам организовать автоматическое переключение клиентов между точками доступа и обеспечить роуминг между ними.
Итак, у нас уже установлен CAPsMAN и настроены его параметры. Давайте создадим новый SSID для гостевой сети, а также укажем пароль для доступа к ней. Для этого в контроллере CAPsMAN выбираем вкладку «Wireless» и кликаем на кнопку «Add/Remove SSID». В открывшемся окне нажимаем кнопку «Add New» и указываем необходимые параметры для SSID.
Также рекомендуется изменить сертификаты, используемые для безопасной аутентификации клиентов. Для этого переходим в меню «Certification» и добавляем новый сертификат для гостевой сети.
Настройка гостевой сети CAPsMAN
1. Создание CAPsMAN
Прежде чем начать настройку гостевой сети, создадим CAPsMAN на нашем маршрутизаторе. Открываем Winbox и переходим к меню «CAPsMAN». Здесь мы будем настраивать все CAPsMAN-серверы и точки доступа.
Щелкните правой кнопкой мыши на пустом месте и выберите «CAPsMAN» > «CAPsMAN». Нажмите «+» для добавления новой конфигурации CAPsMAN.
2. Добавление точек доступа (AP)
Теперь нам нужно добавить точки доступа (AP) к нашему CAPsMAN-серверу. Нажмите «+» на панели CAPsMAN и выберите «CAP» > «CAP».
В появившемся окне введите название точки доступа и выберите CAPsMAN, к которому она будет подключена. Укажите также интерфейс, на котором работает точка доступа. Убедитесь, что у вас есть сертификаты для AP и CAP.
Правильно настроить точку доступа очень важно, поэтому не забудьте указать нужные параметры, такие как режим 2,4 ГГц или 5 ГГц, название, идентификатор профиля CAPsMAN и канал.
3. Создание профилей гостевой сети
Теперь давайте создадим профили гостевой сети для CAPsMAN. Нажмите «+» на панели CAPsMAN и выберите «Configuration» > «Configuration».
Нажмите «Guest Wireless» и выберите флажок «Enabled» для включения гостевой сети. Здесь вы также можете привязать сертификаты и ограничить доступ к определенным интерфейсам.
Создавайте профили гостевой сети для разных настроек, включая ограничение скорости (queue) и контролируемые интерфейсы.
4. Настройка CAPsMAN для гостевой сети
Откройте CAPsMAN и перейдите во вкладку «Configuration». Здесь найдите свежесозданный профиль CAPsMAN и установите его для гостевой сети.
Нажмите «+» в секции «Controlled Interfaces» и выберите интерфейс, к которому будет подключаться гостевая сеть.
Настройка CAPsMAN для гостевой сети означает, что все настройки будут применены к гостевым точкам доступа (AP).
5. Настройка гостевой сети
Перейдите к меню «Interfaces» > «Bridge». Создайте новый bridge с именем «bridge-guest».
Нажмите «+» в секции «Ports» и добавьте интерфейс для гостевой сети.
Перейдите к меню «Interfaces» > «WLAN». Создайте новую WLAN с именем «wlan-guest» и укажите bridge «bridge-guest» в поле «Bridge».
Добавьте сертификаты во вкладке «Security Profiles». Указывайте сгенерированный сертификат для каждого профиля CAPsMAN и настройте авторизацию гостей.
Для бесшовной маршрутизации и роуминга нам понадобится скрипт. Откройте «New Terminal» и скопируйте следующий скрипт:
«/interface wireless cap set wlan1 datapath=guest-dp»
Скрипт скопирует нашу гостевую сеть на datapath с именем «guest-dp».
Теперь мы можем добавить скрипт в menumikrotik, чтобы он выполнялся при каждом запуске роутера.
6. Настройка DHCP
Откройте «IP» > «DHCP Server», создайте новый DHCP-сервер и настройте address-pool с именем «inet-pool». Укажите параметры DHCP, как вам нужно.
7. Настройка очередей
Откройте «Queues» и создайте новую очередь с именем «queue-guest». Укажите ограничение скорости и типы трафика, на которые это ограничение должно быть применено.
8. Настройка маршрутизации
Откройте «IP» > «Routes» и добавьте новый маршрут сети гостевой сети.
Выберите «Gateway» соответствующей гостевой точки доступа и введите IP-адрес маршрутизатора для гостевой сети.
Запретите доступ к основной сети из гостевой сети, добавив новые правила брандмауэра в раздел «IP» > «Firewall».
9. Тестирование гостевой сети
Теперь мы закончили настройку гостевой сети CAPsMAN. Проверьте, что все точки доступа подключены к гостевой сети и работают корректно.
Подключение к CAPsMAN и проверка соединения
После успешной настройки CAPsMAN и гостевой сети, следующим шагом будет подключение к CAPsMAN и проверка соединения.
1. Подключение к CAPsMAN:
— Подключите компьютер или устройство к сети, созданной контроллером CAPsMAN.
— Откройте веб-браузер и введите IP-адрес CAPsMAN в адресной строке.
— Введите логин и пароль для доступа в административный интерфейс CAPsMAN.
2. Проверка соединения:
— Перейдите на вкладку «Provisioning» в меню CAPsMAN.
— Проверьте, есть ли привязка конфигураций к CAPsMAN. В разделе «Provisioned» должен отображаться список работающих CAP, привязанных к CAPsMAN.
— Проверьте наличие правил безопасности (Security Rules), сетей (Networks), очередей (Queues), интерфейсов (Interfaces) и bridge (Bridge).
— Проверьте наличие созданных CAPsMAN profiles.
— Проверьте наличие созданных datapaths и убедитесь, что они находятся в режиме работоспособности.
— Проверьте наличие созданных bridge-интерфейсов и их правил.
— Проверьте, что в разделе «Wireless» созданы соответствующие SSID для гостевой сети.
— Проверьте, что в разделе «Wireless» настроен правильный канал для каждого CAP.
— Проверьте, что в разделе «Wireless Security Profiles» заданы правила безопасности и шифрование для гостевой сети.
— Проверьте, что в разделе «Wireless Provisioning» все опции, такие как «dhcp-option=hostname,clientid», настроены правильно.
— Проверьте, что в разделе «CAPs» для каждого CAP настроены правильные ограничения скорости и сигнала.
— Проверьте, что в разделе «CAPs» настроено ограничение доступа клиентам в гостевую сеть.
— Проверьте, что в разделе «CAPs» настроены сертификаты, если требуется их использование.
— Проверьте, что в разделе «CAPs» настроен контроллер CAPsMAN и правильные настройки CAPsMAN profiles.
— Проверьте, что в разделе «CAPs» настроено блокирование клиентов по MAC-адресу.
3. Если все проверки прошли успешно, то соединение между CAPsMAN и CAP настроено корректно и гостевая сеть готова к использованию.
Настройка политики CAPsMAN
Для controlled сети нам необходимо настроить различные параметры и политики, чтобы они соответствовали нашим потребностям. В этом разделе мы рассмотрим, как настроить необходимые настройки CAPsMAN для гостевой сети.
Настройка интерфейсов
Первым шагом мы настраиваем интерфейсы в CAPsMAN, которые будут использоваться для гостевой сети. Обычно для этого подходит интерфейс WLAN (например, interfaces=wlan1). Мы также можем создать новый интерфейс с названием «interface-bridge-guest», если хотим использовать отдельный интерфейс для гостевой сети.
Для настройки скорости и других параметров гостевой сети открываем меню «Interfaces» и выбираем нужный интерфейс. Затем переходим во вкладку «Wireless» и настраиваем необходимые параметры (например, скорость, настройки роуминга и т.д.).
Создание bridge и datapath
Следующим шагом мы создаём bridge с названием «bridge-guest», который будет использоваться для гостевой сети. Для этого открываем меню «Bridge» и добавляем новый bridge с соответствующим названием.
Затем мы создаём новый datapath (datapath name=»bridge-guest») для гостевой сети, чтобы обеспечить уровень профиля CAPsMAN. Мы также должны настроить datapath, чтобы он указывал на созданный ранее bridge.
Настройка CAPsMAN
После того, как все необходимые настройки создались, мы можем перейти к настройке CAPsMAN. Для этого открываем меню «CAPsMAN» и переходим на вкладку «Configuration». Затем открываем меню «datapaths» и добавляем datapath с указанием имени bridge и bridge-free.
Теперь мы можем перейти к настройке provisioning CAPsMAN. В меню «CAPsMAN» выбираем «provisioning» и создаём новую запись с названием «cap-guest» и сертификатами CAPsMAN.
Настройка гостевой сети
После настройки CAPsMAN мы можем перейти к настройке гостевой сети. Для этого открываем меню «Wireless» и создаём новую запись с названием «name-bridge-guest». Затем мы настраиваем параметры роуминга и другие настройки сети в соответствии с нашими требованиями.
Теперь наша гостевая сеть готова к работе. Мы проверяем, что интерфейс WiFi включен, datapath и bridge настроены правильно, и все остальные настройки системы установлены.
Настройка беспроводных интерфейсов
Когда все физические и виртуальные интерфейсы были настроены, можно приступить к настройке беспроводной точки доступа CAPsMAN. Для начала, откройте программу Winbox и подключитесь к вашему маршрутизатору MikroTik.
В окне Winbox найдите вкладку «CAPsMAN» и войдите в неё. Здесь вы увидите краткую информацию о настройках CAPsMAN и его интерфейса.
Настройка беспроводного интерфейса
Для настройки беспроводного интерфейса клиентского устройства перейдите во вкладку «Interfaces» и кликните на кнопку «WLAN». В открывшемся окне создайте новый интерфейс с названием «wlan2».
Изменяя настройки интерфейса, укажите следующие параметры:
- Status: Включение
- Mode: AP Bridge
- Frequency: Указывайте нужную частоту работы в зависимости от вашей местности и уровня помех
- Security: None (для гостевой сети рекомендуется использовать security-free)
После указания всех настроек интерфейса, нажмите кнопку «OK» для сохранения изменений.
Настройка беспроводных конфигураций
Для настройки беспроводных конфигураций перейдите во вкладку «Wireless» и кликните на кнопку «Security Profiles».
В открывшемся окне добавьте новый профиль с названием «bridge-free» и без указания пароля для гостевой сети.
Затем перейдите во вкладку «Wireless» и добавьте новую конфигурацию с названием «capsman» и выберите ваш созданный ранее беспроводной интерфейс wlan2. В разделе «Security Profiles» выберите созданный профиль «bridge-free».
Проверьте настройки и нажмите кнопку «OK» для сохранения конфигураций.
Настройка CAPsMAN конфигураций
Перейдите во вкладку «CAPsMAN» и подключитесь к контроллеру CAPsMAN через кнопку «Connect». В открывшемся окне откройте вкладку «Configurations».
Добавьте новую конфигурацию с названием «guest» и выберите ваш беспроводной интерфейс wlan2. В разделе «Wireless Configurations» выберите созданную ранее конфигурацию «capsman».
В разделе «Bridge» выберите существующий бридж «bridge» или создайте новый бридж с названием «guest-bridge».
В разделе «Bridge Configurations» выберите созданный ранее профиль «bridge-free».
Проверьте все настройки и нажмите кнопку «OK» для сохранения конфигураций.
Проверка работы гостевой сети
На этом этапе все настройки CAPsMAN были завершены. Для проверки работы гостевой сети подключитесь к беспроводной точке доступа с вашим устройством и убедитесь, что подключение к гостевой сети проходит без проблем.
Если гостевая сеть не работает должным образом, проверьте все настройки и повторите указанные действия ещё раз, убедившись в отсутствии опечаток или ошибок.
В случае появления проблем или необходимости подробности рассмотрения конфигураций, обратитесь к официальной документации MikroTik или посмотрите данную инструкцию.
Настройка безопасности и шифрования
После настройки гостевой сети CAPsMAN вам необходимо обеспечить безопасность и шифрование для защиты данных клиентов, подключенных к этой сети. В этом разделе мы рассмотрим несколько важных шагов, которые помогут вам настроить безопасность вашей гостевой сети.
1. Настройка пароля для доступа к CAPsMAN
В первую очередь, вам необходимо настроить пароль для доступа к CAPsMAN. Это позволит вам ограничить доступ только для авторизованных пользователей. Для этого выполните следующие действия:
- Откройте сервис WinBox на вашем компьютере.
- Подключитесь к роутеру, на котором были настроены CAPsMAN.
- В верхней панели меню выберите вкладку «System» и затем «Passwords».
- В открывшемся окне нажмите кнопку «Plus» (+) для добавления нового пароля.
- Введите необходимое имя пользователя и пароль, а затем нажмите кнопку «Apply».
2. Настройка шифрования Wi-Fi сети
Вторым шагом необходимо настроить шифрование Wi-Fi сети. Это позволит обеспечить конфиденциальность передаваемой информации и предотвратить несанкционированный доступ к сети. Для этого выполните следующие действия:
- Откройте интерфейс микротика в сервисе WinBox и перейдите во вкладку «Wireless».
- Выберите соответствующий Wi-Fi интерфейс, который используется для гостевой сети.
- Настройте параметры безопасности, включая тип шифрования (например, WPA2), пароль и другие параметры, в зависимости от ваших требований.
- Нажмите кнопку «Apply» для сохранения изменений.
3. Ограничение скорости и количество клиентов
Третьим шагом вы можете ограничить скорость и количество клиентов в гостевой сети. Это позволит балансировать использование ресурсов и обеспечить стабильную работу сети. Для этого выполните следующие действия:
- В интерфейсе микротика откройте вкладку «Queue».
- Создайте новое правило очереди для гостевой сети, установив ограничение скорости в соответствии с вашими требованиями.
- Настройте ограничение количества клиентов, установив ограничения на базе IP-адресов или MAC-адресов.
- Нажмите кнопку «Apply» для сохранения изменений.
Необходимо отметить, что вышеуказанные настройки безопасности и шифрования являются основными и могут быть дополнены в зависимости от ваших конкретных потребностей. Рекомендуется также помнить о последних обновлениях и обеспечивать высокий уровень безопасности для вашей гостевой сети.
Настройка DHCP-сервера
Чтобы изменить настройки DHCP-сервера, выполните следующие шаги:
Шаг 1: Настройка скрипта
Перед настройкой DHCP-сервера, убедитесь, что у вас есть скрипт, который будет использован для создания профилей CAP.
Откройте роутер MikroTik и перейдите в меню «Scripts» в разделе «System». Скопируйте и вставьте следующий скрипт:
/interface bridge
add name=bridge-master
/interface wireless cap
add interface=bridge-master name=wireless-cap-master
/interface wireless
add master-interface=wireless-cap-master name=ac-channel1 ssid=guest-access frequency=controlled by =interface-manager1
security-profile=security-free
add master-interface=wireless-cap-master name=ac-channel2 ssid=guest-access
frequency=controlled by =interface-manager2 security-profile=security-free
/interface bridge port
add bridge=bridge-master interface=ac-channel1
add bridge=bridge-master interface=ac-channel2
/interface wireless access-point
add datapath=device"ac-channel1" name=guest-access-ac1 security-profile=security-free ssid=guest-access
add datapath=device"ac-channel2" name=guest-access-ac2 security-profile=security-free ssid=guest-access
/interface wireless disabled-mode
add master-interface=wireless-cap-master name=wifi-cm2
/interface wireless control-channel-widths
set 2.4ghz20=>1,2.4ghz20/40=>1,5ghz20=>1,5ghz20/40=>1,5ghz20/40/80=>1,5ghz20/40/80/160=>1,5ghz40=>1,5ghz80=>1,5ghz80plus=>1
/system identity
add name=router-mikrotik2
/caps-man datapath
add bridge=bridge-master local-forwarding=no name=datapath1 vlan-mode=use-tag
/caps-man configuration
add channel.width=20mhz distance=indoors name=cfg2 ssid= guest-access
/interface bridge port
add bridge=bridge-master ingress-filtering=yes interface=datapath1
Шаг 2: Настройка DHCP-сервера
Откройте роутер MikroTik и перейдите в раздел «IP» в меню «Winbox». Далее выберите «DHCP Server». На этой странице откройте вкладку «Networks» и добавьте новую сеть:
- Щелкните «Add New» для создания новой сети.
- Введите нужные данные в поля «Address» и «Gateway» для указания адреса сети и шлюза по умолчанию соответственно.
- Установите «Netmask» в соответствии с вашей сетью.
- Выберите пул адресов для клиентов из выпадающего списка «Address Pool».
- Отметьте флажок «DHCP Server», чтобы включить DHCP-сервер для этой сети.
- Щелкните «OK», чтобы сохранить настройки.
Шаг 3: Настройка NAT
Чтобы настройки DHCP работали должным образом, необходимо настроить NAT для перенаправления трафика между сетями. Для этого нужно выполнить следующие действия:
- Откройте роутер MikroTik и перейдите в раздел «IP» в меню «Winbox».
- Выберите «Firewall» и выберите вкладку «NAT».
- Нажмите на «+» для создания нового правила NAT.
- Выберите «srcnat» для «Chain» и «out-interface» для «Out Interface».
- В поле «Action», выберите «masquerade» для действия NAT.
- Щелкните «OK», чтобы сохранить настройки.
Теперь ваш DHCP-сервер настроен и готов к использованию в гостевой сети CAPsMAN. Это позволит автоматически предоставлять IP-адреса пользователям сети с использованием CAPsMAN.
Создание сетевых профилей и настройка QoS
Для настройки гостевой сети CAPsMAN и обеспечения качества обслуживания (QoS) необходимо создать сетевые профили.
Прежде всего, убедитесь, что ваш контроллер CAPsMAN настроен и работает правильно. Если вы еще не настроили CAPsMAN, вы можете найти подробную инструкцию в предыдущих разделах.
1. Откройте Winbox и подключитесь к вашему CAPsMAN контроллеру.
2. Перейдите во вкладку «CAPsMAN» и выберите ваш CAPsMAN интерфейс.
3. Зайдите в меню «Конфигурация» и выберите пункт «Конфигурация CAPsMAN».
4. Нажмите на «+» и введите название вашего сетевого профиля, например «Гостевая сеть».
5. В разделе «Interfacetype» выберите «Security-free».
6. В поле «ssid» введите название гостевой сети (SSID), например «Caps-Free».
7. В поле «channel2» выберите предпочтительный канал для вашей гостевой сети. Вы также можете указать несколько каналов через запятую.
8. Включите QoS, выбрав «Enabled» в разделе «qos-enabled».
9. Настройте ограничение скорости для гостевой сети, указав необходимую скорость в поле «Queue». Например, «2M/2M» для 2 Мбит/сек входящей и исходящей скорости.
10. Укажите VLAN в поле «vlan-id», если это необходимо.
11. Для авторизации пользователей в гостевой сети, укажите необходимые настройки в разделе «Security». Вы можете использовать различные методы авторизации, например WPA2, Captive Portal, аутентификацию RADIUS или просто не требовать пароль.
12. Если нужно, запрещайте доступ к определенным ресурсам или сервисам, указав соответствующие настройки в разделе «firewall».
13. Проверьте настройки и нажмите «Apply» для применения изменений.
Если ваш CAPsMAN настроен правильно, гостевая сеть будет доступна для подключения от устройств в диапазоне сигнала. Вы можете проверить свою сеть на наличие с помощью своего устройства, выбрав SSID-guest и вводя пароль (если требуется).
Когда гостевая сеть настроена, CAPsMAN будет автоматически управлять захватами и передавать трафик между гостевой сетью и внутренней сетью. Технология CAPsMAN позволяет обеспечивать качество обслуживания путем управления пропускной способностью канала и установки приоритетов для определенных видов трафика.
Настройка беспроводных клиентов и проверка соединения
После настройки гостевой сети в CAPsMAN и добавления точек доступа, мы можем приступить к настройке беспроводных клиентов.
Для начала необходимо установить профили на беспроводные интерфейсы клиентских устройств. Воспользуйтесь командой:
/caps-man datapath= free downlink= 2.4Ghz-UP uplink= 2.4Ghz-DOWN interface=ether1 name= datapath-free dst-limit=10 enable-dst-nat=yes ssid-prefix=Guests max-station-count=50 station-bridge= datapath-free-sta station-roaming=0 nstex=yes nx-ampdu-priorities=6,6 channel-width=20/40mhz-Ce connection-establishment-costs=150 remote-ap-deauth-default-mode=authenticated remote-ap-deauth-negative-timeout=20 remote-ap-deauth-positive-timeout=60 rx-chains=0,1 scan-list=default wmm-support=enabled country=russia installation_identity= rdns-location=0.x.x.x wds-mode=disabled bridge-mode=enabled rate-control=default inactivity-timeout=1d lock-to-cell=default antenna-mode=default client-aware=yes default-authentication=yes default-authentication=no default-forwarding=yes default-forwarding=no default-security=yes default-security=
no keepalive-frames=yes keepalive-frames=no management-protection=default management-protection=off connect-list=none disconnect-timeout-v2026=0 disconnect-timeout-v2x00=0 local-forwarding=yes pseudobridge=yes tx-chains=0,1
В данной команде мы указываем некоторые настройки, такие как: название точки доступа (SSID), максимальное количество подключенных клиентов (max-station-count), префикс SSID (ssid-prefix), ширина канала (channel-width), страна (country), роуминг клиентов (station-roaming) и другие параметры.
После установки профиля на интерфейс беспроводного клиента, установите привязку к контроллеру CAPsMAN. Для этого вам необходимо выполнить следующую команду: /interface wireless cap set wlan2 caps-man-cm=»CAPsMAN_controller_name»
Теперь, когда профили и привязки установлены, вы можете проверить соединение клиента с гостевой сетью. Для этого воспользуйтесь командой: /interface wireless registration-table print
В результате выполнения этой команды вы увидите список всех клиентов, работающих с гостевой сетью. Проверьте, есть ли клиенты в списке и работают ли они на правильных настройках и каналах.
Если у клиента возникают проблемы с подключением, вы можете использовать те же команды для настройки контролируемого режима (controlled mode) и применения правил (rules) для ограничения скорости, уровня сигнала и других параметров соединения.
Кроме того, вы можете настроить привязку клиентов к определенным каналам (channels) или конфигурациям (configurations) в зависимости от их потребностей в скорости и стабильности соединения. Это можно сделать, указав конкретный ID канала или конфигурации при установке профиля, например: profile default channel=6 configuration=WirelessCM2
Подробнее о контроле и настройках беспроводных клиентов в CAPsMAN вы можете узнать в официальной документации MikroTik.
0 Комментариев