Zarządzanie wieloma punktami dostępowymi (AP) za pomocą kontrolera CAPSMAN

Print Friendly, PDF & Email


Sieci bezprzewodowe WiFi są obecnie na tyle powszechne, a potrzeba bycia online na tyle wyraźna, iż konieczne staje się zbudowanie sieci, nie tylko bezpiecznej, z “dobrym łączem” do internetu,  ale także na tyle pojemnej i rozległej aby korzystanie z zasobów internetu było wystarczająco komfortowe dla dużej liczby użytkowników. Access Pointy montowane w domach, biurach, kawiarniach oraz dowolnych przestrzeniach miejskich nie są już jedynie pojedynczymi urządzeniami a bardziej systemami sieci WiFi składającymi się z wielu AP pracujących w ramach jednej sieci bezprzewodowej, zarządzanej z jednego centralnego punktu zwanego dalej kontrolerem.

Zalety posiadania systemu WiFi opartego o kontroler CAPSMAN (Mikrotik)

– brak dodatkowych kosztów licencyjnych (Aruba, Cisco)
– jeden centralny punkt z którego zarządzamy całą siecią (upgrade konfiguracji dla poszczególnych AP, upgrade oprogramowania AP)
– roaming (automatyczne przełączanie się pomiędzy poszczególnymi AP)
– automatyczny dobór częstotliwości na której pracują AP
– logowanie użytkowników do sieci: WPA, WEP, hotspot (strona powitalna), RADIUS

Wymagania

– routerOS w wersji co najmniej 6.23 (dla CAPSMAN’a V2)
– przynajmniej 2 urządzenia Mikrotik: router + AP
– zainstalowana aplikacja Winbox
– połączenie fizyczne pomiędzy routerem i AP

Założenia

– sieć SSID ‘welcome’ rozgłaszana na każdym z zainstalowanych AP
– zarządzanie siecią za pomocą kontrolera CAPSMAN
– access point w standardzie b/g/n

Zarządzanie wieloma punktami dostępowymi (AP) za pomocą kontrolera CAPSMAN

Konfiguracja

1. Reset configuracji routera i AP

Winbox# System/Reset Configuration

Winbox# System/Reset Configuration

Konsola

konsola

 

2. Sprawdzenie czy moduł wireless_cm2 jest aktywny router i AP

Winbox# System/Packages

Winbox# System/Packages

Winbox# System/Packages

3. Ustawienie nazwy dla router I AP

Winbox# System/Identity

Winbox# System/Identity

Dla routera ustawiamy ‘router’

Dla Access Point kolejno AP1, AP2, AP3

4. Zmiana hasła dla użytkownika admin na router I AP

Hasło należy zapamiętać gdyż Mikrotik nie umożliwia późniejszego zresetowania hasła i konieczne staje się przywrócenie urządzenia do ustawień fabrycznych!

Winbox# System/Users

Winbox# System/Users

5. Podłączenie routera do internetu (ustawienie klienta dhcp na porcie ether1)

Winbox# IP/DHCP Client

Winbox# IP/DHCP Client

Konsola

Konsola

 

6. Konfiguracja sieci admin pomiędzy router a AP

– stworzenie bridge’a na routerze I dodanie do niego portów do których podłączymy AP

Winbox# Brigde

Winbox# Brigde

Winbox# Bridge/Ports

 Winbox# Bridge/Ports

W tym wypadku dodajemy porty ether7, ether8, ether9, ether10

– ustawienie adresacji dla sieci admin na routerze 192.168.27.1/24

Winbox# IP/Address

Winbox# IP/Address

– skonfigurowanie adresu w sieci admin dla AP1

Winbox# IP/Address

Winbox# IP/Address

Kolejne AP adresujemy:
192.168.27.3/24
192.168.27.4/24
192.168.27.5/24

7. Stworzenie bridge’a na routerze I uruchomienie na nim serwera dhcp dla klientów sieci WiFi

Winbox# Bridge

Winbox# Bridge

Uwaga, do bridga nie dodajemy żadnych portów, zrobi to za nas CAPSMAN (dla każdego AP
zostanie dodany osobny interface)

– ustawiamy adres ip dla bridge_capsman i uruchamiamy na nim serwer dhcp

Winbox# IP/Address

Winbox# IP/Address

Winbox# IP/Address

8. Konfiguracja kontrolera CAPSMAN na routerze

Winbox# CAPSMAN/Configurations

 

Winbox# CAPSMAN/Configurations Winbox# CAPSMAN/Configurations

Winbox# CAPSMAN/Configurations Winbox# CAPSMAN/Configurations

Winbox# CAPSMAN/Provisioning

Winbox# CAPSMAN/Provisioning

I ostatecznie uruchamiamy CAPSMAN’a

I ostatecznie uruchamiamy CAPSMAN'a

9. Ustawienie Maskarady na routerze dla klientów sieci ‘welcome’

Winbox# IP/Firewall/NAT

Winbox# IP/Firewall/NAT Winbox# IP/Firewall/NAT

10. Konfiguracja AP

Winbox# Wireless/CAP

Winbox# Wireless/CAP

11. Weryfikacja

– AP
Winbox# Wireless/Interfaces

AP Winbox# Wireless/Interfaces

– Na routerze natomiast

Winbox# CAPSMAN/Remote CAP

Winbox# CAPSMAN/Remote CAP

Teraz pozostaje podłączyć się do sieci ‘welcome’ za pomocą komputera.

Uwagi:
Powyższa instrukcja stanowi jedynie podstawową konfigurację CAPSMAN’a ,którą można oczywiście rozbudować, chociażby o dodatkowe sieci SSID, VLAN’y, funkcję HOTSPOTA, Access List

Bezpieczeństwo:
– Używamy odpowiednio skomplikowanych haseł
– Konfiguracja firewall
– Wprowadzamy ograniczenia logowania się do WINBOX’a (np z określonych adresów IP, konfigurujemy mechanizm port knocking)
– Wyłączamy metody logowania z których nie korzystamy (np. Telnet, ssh, http)
– Ograniczmy działanie protokołu IP/Neighbors
– Ograniczmy działanie MAC-Server’a
– Rozważyć konfigurację CAPSMANA w oparciu o certyfikaty
– Możemy podmienić MAC address’y naszych interface’ów tak aby utrudnić identyfikację naszych urządzeń dla klientów sieci WiFi

Przydatne linki:
http://wiki.mikrotik.com/wiki/Manual:CAPsMAN