Zarządzanie wieloma punktami dostępowymi (AP) za pomocą kontrolera CAPSMAN
Sieci bezprzewodowe WiFi są obecnie na tyle powszechne, a potrzeba bycia online na tyle wyraźna, iż konieczne staje się zbudowanie sieci, nie tylko bezpiecznej, z “dobrym łączem” do internetu, ale także na tyle pojemnej i rozległej aby korzystanie z zasobów internetu było wystarczająco komfortowe dla dużej liczby użytkowników. Access Pointy montowane w domach, biurach, kawiarniach oraz dowolnych przestrzeniach miejskich nie są już jedynie pojedynczymi urządzeniami a bardziej systemami sieci WiFi składającymi się z wielu AP pracujących w ramach jednej sieci bezprzewodowej, zarządzanej z jednego centralnego punktu zwanego dalej kontrolerem.
Zalety posiadania systemu WiFi opartego o kontroler CAPSMAN (Mikrotik)
– brak dodatkowych kosztów licencyjnych (Aruba, Cisco)
– jeden centralny punkt z którego zarządzamy całą siecią (upgrade konfiguracji dla poszczególnych AP, upgrade oprogramowania AP)
– roaming (automatyczne przełączanie się pomiędzy poszczególnymi AP)
– automatyczny dobór częstotliwości na której pracują AP
– logowanie użytkowników do sieci: WPA, WEP, hotspot (strona powitalna), RADIUS
Wymagania
– routerOS w wersji co najmniej 6.23 (dla CAPSMAN’a V2)
– przynajmniej 2 urządzenia Mikrotik: router + AP
– zainstalowana aplikacja Winbox
– połączenie fizyczne pomiędzy routerem i AP
Założenia
– sieć SSID ‘welcome’ rozgłaszana na każdym z zainstalowanych AP
– zarządzanie siecią za pomocą kontrolera CAPSMAN
– access point w standardzie b/g/n
Konfiguracja
1. Reset configuracji routera i AP
Winbox# System/Reset Configuration
Konsola
2. Sprawdzenie czy moduł wireless_cm2 jest aktywny router i AP
Winbox# System/Packages
3. Ustawienie nazwy dla router I AP
Winbox# System/Identity
Dla routera ustawiamy ‘router’
Dla Access Point kolejno AP1, AP2, AP3
4. Zmiana hasła dla użytkownika admin na router I AP
Hasło należy zapamiętać gdyż Mikrotik nie umożliwia późniejszego zresetowania hasła i konieczne staje się przywrócenie urządzenia do ustawień fabrycznych!
Winbox# System/Users
5. Podłączenie routera do internetu (ustawienie klienta dhcp na porcie ether1)
Winbox# IP/DHCP Client
Konsola
6. Konfiguracja sieci admin pomiędzy router a AP
– stworzenie bridge’a na routerze I dodanie do niego portów do których podłączymy AP
Winbox# Brigde
Winbox# Bridge/Ports
W tym wypadku dodajemy porty ether7, ether8, ether9, ether10
– ustawienie adresacji dla sieci admin na routerze 192.168.27.1/24
Winbox# IP/Address
– skonfigurowanie adresu w sieci admin dla AP1
Winbox# IP/Address
Kolejne AP adresujemy:
192.168.27.3/24
192.168.27.4/24
192.168.27.5/24
7. Stworzenie bridge’a na routerze I uruchomienie na nim serwera dhcp dla klientów sieci WiFi
Winbox# Bridge
Uwaga, do bridga nie dodajemy żadnych portów, zrobi to za nas CAPSMAN (dla każdego AP
zostanie dodany osobny interface)
– ustawiamy adres ip dla bridge_capsman i uruchamiamy na nim serwer dhcp
Winbox# IP/Address
8. Konfiguracja kontrolera CAPSMAN na routerze
Winbox# CAPSMAN/Configurations
Winbox# CAPSMAN/Provisioning
I ostatecznie uruchamiamy CAPSMAN’a
9. Ustawienie Maskarady na routerze dla klientów sieci ‘welcome’
Winbox# IP/Firewall/NAT
10. Konfiguracja AP
Winbox# Wireless/CAP
11. Weryfikacja
– AP
Winbox# Wireless/Interfaces
– Na routerze natomiast
Winbox# CAPSMAN/Remote CAP
Teraz pozostaje podłączyć się do sieci ‘welcome’ za pomocą komputera.
Uwagi:
Powyższa instrukcja stanowi jedynie podstawową konfigurację CAPSMAN’a ,którą można oczywiście rozbudować, chociażby o dodatkowe sieci SSID, VLAN’y, funkcję HOTSPOTA, Access List
Bezpieczeństwo:
– Używamy odpowiednio skomplikowanych haseł
– Konfiguracja firewall
– Wprowadzamy ograniczenia logowania się do WINBOX’a (np z określonych adresów IP, konfigurujemy mechanizm port knocking)
– Wyłączamy metody logowania z których nie korzystamy (np. Telnet, ssh, http)
– Ograniczmy działanie protokołu IP/Neighbors
– Ograniczmy działanie MAC-Server’a
– Rozważyć konfigurację CAPSMANA w oparciu o certyfikaty
– Możemy podmienić MAC address’y naszych interface’ów tak aby utrudnić identyfikację naszych urządzeń dla klientów sieci WiFi
Przydatne linki:
http://wiki.mikrotik.com/wiki/Manual:CAPsMAN