CAPsMAN - Esempi pratici
CAPsMAN è la nuova funzionalità di gestione Wireless centralizzata, resa disponibile con la release 6.11 di RouterOS. L'architettura si basa su un dispositivo “manager” che ha il ruolo di gestire i dispositivi CAP (Controlled Access Point).
Il vantaggio è quello di non dover più preoccuparsi di gestire le configurazioni dei singoli dispositivi, ma tramite il manager e un minimo di configurazione iniziale è possibile amministrare e provisionare tutti gli AP.
Secondo la mia esperienza, le operazioni da svolgere per passare a questa soluzioni sono le seguenti:
- Verificare la copertura dei singoli AP e assicurarsi che non vi siano sovrapposizioni (in tal caso vedere Wifi Reference)
- Assicurarsi che tra gli AP e il Manager vi sia connettività L2*.
- Le identity di tutti i dispositivi devono essere settate in modo che identifichino correttamente i dispositivi
Esempio di configurazione
Manager
Abilito il manager. Occorre installare il pacchetto *fp disponibile dal sito Mikrotik.
/caps-man manager set enabled=yes
Creo dei Channel specifici, che dovrebbero andare bene nella stragrande maggioranza dei casi
/caps-man channel add band=2ghz-b/g/n frequency=2412 name=2.4-ch1-20MHz width=20 add band=2ghz-b/g/n frequency=2437 name=2.4-ch6-20MHz width=20 add band=2ghz-b/g/n frequency=2462 name=2.4-ch11-20MHz width=20
Creo i datapath che istruiscono gli AP su come instradare il traffico. In questo caso uso una policy “local-forwarding”, quindi l'AP instraderà il traffico in locale e NON tramite il tunnel con CAPsMAN. Ho creato comunque un datapath “remote-forwarding” il quale farà in modo che le connessioni degli AP siano forwardate in bridge dal CAPsMAN tramite un tunnel e non dal bridge locale dell'AP.
/caps-man datapath add client-to-client-forwarding=no local-forwarding=yes name=local-forwarding /caps-man datapath add bridge=br-lan client-to-client-forwarding=no local-forwarding=no name=\ remote-forwarding-br-lan
Creo le “security” wifi, che in questo caso è una WPA2-PSK
/caps-man security add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm,tkip \ group-encryption=aes-ccm name=fblab-wpa2 passphrase=***********
Creo le “configuration” ovvero i profili di configurazione degli AP. Ognuno di questi, avrà come definiziione il Channel, il Datapath e la security.
/caps-man configuration add channel=2.4-ch1-20MHz datapath=local-forwarding mode=ap name=\ fblab-master-2.4ch1 rx-chains=0,1,2 security=fblab-wpa2 ssid=fblab.it \ tx-chains=0,1,2 add channel=2.4-ch6-20MHz datapath=local-forwarding mode=ap name=\ fblab-master-2.4ch6 rx-chains=0,1,2 security=fblab-wpa2 ssid=fblab.it \ tx-chains=0,1,2 add channel=2.4-ch11-20MHz datapath=local-forwarding mode=ap name=\ fblab-master-2.4ch11 rx-chains=0,1,2 security=fblab-wpa2 ssid=fblab.it \ tx-chains=0,1,2
Creo dei profili di “provisioning” i quali istruiranno il manager su come comportarsi quando un determinato AP richiede una connessione con CAPsMAN. Nel mio caso, ho preferito creare un profilo per ogni AP, così in questo modo posso gestire manualmente i canali (considerato che al momento, non vi è questa feature).
/caps-man provisioning add action=create-enabled master-configuration=fblab-master-2.4ch1 radio-mac=\ D4:CA:6D:31:12:7D add action=create-enabled master-configuration=fblab-master-2.4ch6 radio-mac=\ D4:CA:6D:95:D4:F5
Quando l'AP si connette, CAPsMAN creerà un'interfaccia capXX (XX è un numero progressivo) ed in questo caso, l'interfaccia sarà subito messa in Enable e resterà configurata anche quando l'AP verrà scollegato. Questa è la strada che preferisco, in quanto sarà possibile eventualmente rinominare l'interfaccia cap con un nome più esaustivo; ciò non toglie che è possibile usare action=create-dynamic-enable che avrà l'effetto di creare dinamicamente le interfaccie cap ogni volta che gli AP si connettono al manager.
Queste sono le interfaccie che si sono “create” la prima volta che l'AP si è connesso, procedo quindi a rinominarle e queste saranno sempre attive.
/caps-man interface add arp=disabled configuration=fblab-master-2.4ch1 disabled=no l2mtu=1600 \ mac-address=D4:CA:6D:XX:XX:YY master-interface=none mtu=1500 name=\ crs-crb-ap1-master radio-mac=D4:CA:6D:XX:XX:XY add arp=disabled configuration=fblab-master-2.4ch6 disabled=no l2mtu=1600 \ mac-address=D4:CA:6D:XX:XX:YY master-interface=none mtu=1500 name=\ crs-crb-ap2-master radio-mac=D4:CA:6D:XX:XX:YY
CAP (Controlled Access Point)
Prendendo in esame una RB951 senza configurazione di default, si crea il bridge che sarà utilizzato da CAP per forwardare il traffico locale. Assumo che la porta ether2 sia collegata alla rete locale e che il forwarding locale debba funzionare in LAN.
/interface bridge add l2mtu=1598 name=br-lan protocol-mode=none /interface bridge port add bridge=br-lan interface=e2-master
Abilito CAP sulla rete locale, usando il bridge sia come Discovery interface sia come local-forwarding.
/interface wireless cap set bridge=br-lan discovery-interfaces=br-lan enabled=yes interfaces=wlan1
A questo punto l'AP si collegarà in autonomia al CAPsMAN e prenderà i profili configurati, qualora vi sia un profilo di provisioning corretto.