Страница 2 из 2
Re: Настройка CAPsMAN и точек доступа.
Добавлено: 16 июл 2018, 18:19
Slavi
Спасибо.
Но не подсаежете, какой пункт в провижене отвечает за "подтягивание" имени? (в интерфейсе)
Про мак адреса знаю, даже тестил так, что на каждую точку/модуль назначал свою SSID , что б точно знать что она работает.
Но вот сегодня сбросил настройки, и настроил заново. Стало все ок. даже не ругается на то, что "диапазон не тот".
Но с именами вышла незадача.
Re: Настройка CAPsMAN и точек доступа.
Добавлено: 16 июл 2018, 18:30
Slavi
Все , кажется понял!
В настройках провижена Name Format !
установить identity
Re: Настройка CAPsMAN и точек доступа.
Добавлено: 16 июл 2018, 21:03
Slavi
Вах. выдохнул.
В общем настройку capsman осилил.
Занавес.)))) все получается, все работает. Последовательность действий уже в кровь впиталась.
Re: Настройка CAPsMAN и точек доступа.
Добавлено: 17 июл 2018, 17:38
mafijs
Slavi писал(а): ↑16 июл 2018, 21:03
Вах. выдохнул.
В общем настройку capsman осилил.
Занавес.)))) все получается, все работает. Последовательность действий уже в кровь впиталась.
И в самом деле нет там ничего сложного. Не так ?
Re: Настройка CAPsMAN и точек доступа.
Добавлено: 18 июл 2018, 16:24
Slavi
mafijs писал(а): ↑17 июл 2018, 17:38
И в самом деле нет там ничего сложного. Не так ?
Да так все.
По сути, все это время структурировал знания сетевых технологий. причем самые базовые.
Скорее сложность от неопнимания процессов. Когда разберешься как это работает - становится все просто.
Re: Настройка CAPsMAN и точек доступа.
Добавлено: 18 июл 2018, 20:03
romsandj
Я с нуля настраивал данную систему для 3-х этажного особняка (тут на форуме в др. ветке есть мои отписки, рисунки, вопросы) Система строилась на основе:
RB2011 - контролер
hAP Lite - сАРы по дому
Проект был "долгостроем". Первым делом была проведена радиоразветка (чтобы вычислить кол-во и место расположения сАР) потом были проложены кабельная продукция. И я ушел в стадию ожидания. Начал "на столе" собирать систему. И, т.к. понимал, что времени ждать много, а все настройки не так уж и просто запомнить, я вел дневник. Чисто для себя, чтобы потом, если что, вспомнить что да как.
Вот мои действия:
1) Полный сброс на заводские
2) Обновление прошивки
3) Запускаем новый (v 3.16) winbox
4) Авторизация по MAC стандартная
5) Меняю главного пользователя системы (убираю admin, указываю *******)
6) Ставлю пароль (***********)
7) Стандартные манипуляции по приведению в порядок интерфейсов:
а) Ether1-master, Ether2-5 slave (Все это LAN-GB)
b) Ether6-master, Ether7-9 slave (Все это LAN-MB)
c) Ether10 объявил WAN, на нем поднял PPPoE-Client
d) Создал Bridge1-local, в него загнал Ether1, Ether6, Wlan1
e) Задал адрессность бриджу 192.168.3.1/24 Адрес роутера 192.168.3.1
8) Создал пул адресов для выдачи клиентам из диапазона 192.168.3.10-99 (pool1-main)
10) Настроил DHCP-server из pool1-main, повесил его на bridge1-local
11) Настроил DNS, им будет сам роутер 192.168.3.1
12) Настройка Wlan1:
a) ap bridge
b) 2GHz-B/G/N
c) 20MHz
d) 2412 (1 канал)
e) SSID: ##########
f) Протокол 802.11
13) Настройка пароля Wi-Fi (***********)
14) Отключаю "не нужные" сервисы. Оставляю только доступ по Winbox. (IP/Services)
15) Настроил временную зону, добавил SNTP-сервер
16) Т.к. будет статический адрес, настраиваем Firewall сл. образом:
a) Сразу обрубаем инвалидные подключения на WAN
add chain=input action=drop connection-state=invalid in-interface=MTS-internet
b) Обрубаем доступ из BOGON сетей (предварительно добавляем в Address List эти BOGON сети) на WAN
add chain=input action=drop src-address-list=BOGON in-interface=MTS-internet
c) Разрешаем ICMP(пинг) на всех интерфейсах
add chain=input action=accept protocol=icmp
d) Разрешаем установленные, зависимые подключения на WAM
add chain=input action=accept connection-state=established,related in-interface=MTS-internet
e) Разрешаем доступ к MIKROTIK "из вне" по WinBox (т.е. доступ к микротику через и нтернет по "белому" IP-адресу)
add chain=input action=accept protocol=tcp in-interface=MTS-internet dst-port=8291
f) Обрубаем все остальные (не разрешенные ранее) соединения на WAN
add chain=input action=drop in-interface=MTS-internet
g) Обрубаем форвадинг инвалидов на WAN
add chain=forward action=drop connection-state=invalid in-interface=MTS-internet
h) Разрешаем форвадинг установленных и зависимых соединений на WAN
add chain=forward action=accept connection-state=established,related in-interface=MTS-internet
i) Обрубаем любой другой форвадинг (не указанный ранее) на WAN
add chain=forward action=drop in-interface=MTS-internet
17) Прописываем правило для доступа в интернет из нашей сети (это делаем в NAT)
add chain=srcnat action=maquerade out-interface=MTS-internet
18) Еще несколько действий, повышающих безопасность:
a) Проверяем сервис SNMP в IP/SNMP. По-умолчанию он выключен.
b) Проверяем сервис RoMon в Tools/RoMon (нечего светить лишнее в сети). По-умолчанию он тоже отключен.
с) В Tools/MAC Server отключаем Mac Ping Server. Это отключит отклик устройства при пинге через MAC-ping.
/tool mac-server ping set enabled=no
d) Не используйте службу FTP, встроенную в Mikrotik без ограничений по подсетям! При Telnet-подключении все
наблюдают такое приглашение: "220 MikroTik-951 FTP server (MikroTik 6.38) ready". А это значит мы можем
показать злоумышленнику производителя, модель устройства и его версию RouterOS. Кроме того, при взломе
ftp-аккаунта злоумышленник сможет скопировать бекап и вытянуть пароль, выполнить файл типа rsc.auto,
загрузить свои пакеты типа "system" и прочее.
19) Настройка CAPsMAN (Control Access Point Manager) RB2011:
a) В главном окне выбираем CAPsMAN, в нем ставим галочку Enable (больше нигде галки не ставим)
b) Идем в закладку Security Cfg, настраиваем авторизацию доступа к нашей будущей сети
c) Идем в закладку Datapath, выбираем имя, выбираем в поле Bridge наш, сделанный ранее по интерфейсам, бридж.
Ставим галку над Client to Client Forwading (Чтоб клиенты ТД друг друга видели)
d) Идем в закладку Chanel и прописываем те каналы, которые планируем использовать своими ТД. Можно прописать
все доступные каналы, а потом, при эксплуатации перенастраивать ТД на соотвествующий канал.
e) Идем в Configurations (Конфигурации):
---Wireless---
1) Name: (Имя конфы)
2) Mode: (Режим работы) - ap
3) SSID: (Имя сети) -
4) Внизу ставим галки напротив всех HT Tx
---Chanel---
1) Выбираем на каком канале будет работать CAPsMAN
---Datapath---
1) Выбираем ранее созданный datapath
---Security---
1) Выбираем ранее созданный профиль security
f) Идем в Provisioning
1) Поле Radio MAC оставляем 00:00:00:00:00:00 (это значит, что настройки распространятся на все ТД в сети)
2) поле Hw.Supported Modes выбираем режим работы конфигурации (gn). Если нужно еще и -b- отдельно добавляем строчку
3) Поле Action устанавливаем Create dinamic: enebled (Создать интерфейс автоматически)
4) Поле Master configuration выбиравем нашу созданную конфу
5) Поле Name Format указываем как будет именоваться созданный интерфейс
----------------------------------------
После всего этого настройка закончена, над нашим wi-Fi интерфейсом должны появиться 2 красные строки, что wi-fi управляется CAPsMAN-ом
Система запущена в эксплуатацию. Пока всё работает. Есть ньюансы. в частности потребовалось иметь сигнал вафли в месте где изначально не планировалось. А уже отделка выполнена, кабель проложить для новой сАР - не вариант. Вот думаю, может PowerLine замутить. Но так система завелась сразу, и настраивал я ее впервые по манам из тырнета.
В моих настройках, в фаерволе, прописаны некоторые правила, которые "под вопросом" - нужны ли!? В частности, про BOGON-сети. Тут описано подробно про это. Так называемые "Лженастройки".
http://mikrotik.vetriks.ru/wiki/%D0%9C% ... 0%BB%D0%B0
Re: Настройка CAPsMAN и точек доступа.
Добавлено: 22 июл 2018, 11:44
Slavi
Спасибо , весьма познавательно. Правда, большинство из написанного вижу впервые. Но возьму на заметку. Есть теперь что почитать)))
Re: Настройка CAPsMAN и точек доступа.
Добавлено: 05 мар 2019, 20:48
boris.slepov
Slavi у меня ваша же бывшая проблема. Поднимал капсмана. Сначала все получилось, но была какая-то проблема с IP. Смарты подключенные к созданной капсманом сетке не получали IP. Но это полбеды. После этого рухнул сам капсман и я не могу его поднять. Вместо двух надписей появляется лишь одна как было у вас. Соответственно wlan гаснет пока не отключишь капсмана и не активируешь его вручную.