mikrotik cap + dhcp

[DAnEq 5]

купил точки доступа mikrotik cap ac и mikrotik hex poe lite
конечная цель сделать бесшовный роуминг

в мануалах везде указано что делается либо с помощью caspman либо с помощью mesh
когда купил, прочитал, что в помощью capsman бесшовный роуминг сделать нельзя (в моем видении это когда точки сами смотрят на какой из них сигнал от клиента сильнее и переключают клиента сами без потери пакетов), можно лишь выставить чтобы точка принудительно отключала клиента с сигналом меньше заданого уровня, чтобы он переключился на более сильную точку (и думаю это будет с потерей пакетов)
вопрос 1 - правда ли это ?

вопрос 2
включил на роутере cap, точку доступа поставил в такой же режим
в итоге точка доступа айпи адрес получает, а клиент не получает, хоть на роутере попытки подключения видны
на точке доступа поставил все интерфейсы в бридж
конфиги сейчас приложу

конфиг роутера
 

/interface bridge
add admin-mac=2C:C8:1B:C4:5D:AF auto-mac=no comment=defconf name=bridge
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=0294 service-name=pppoe1 \
    use-peer-dns=yes user=05710831
/caps-man interface
add configuration.mode=ap configuration.ssid=RiOni disabled=no l2mtu=1600 mac-address=DC:2C:6E:B8:44:4E \
    master-interface=none name=cap1 radio-mac=DC:2C:6E:B8:44:4E radio-name=DC2C6EB8444E \
    security.authentication-types=wpa2-psk security.encryption=aes-ccm security.passphrase=88888888
add configuration.load-balancing-group="" configuration.mode=ap configuration.ssid=RiOni disabled=no l2mtu=1600 \
    mac-address=DC:2C:6E:B8:44:4F master-interface=none name=cap2 radio-mac=DC:2C:6E:B8:44:4F radio-name=DC2C6EB8444F \
    security.authentication-types=wpa2-psk security.encryption=aes-ccm security.passphrase=88888888
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=cap1 ranges=192.168.1.0/24
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
add address-pool=dhcp disabled=no interface=cap1 name=cap1
add address-pool=dhcp disabled=no interface=cap2 name=cap2
/caps-man manager
set enabled=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge disabled=yes interface=all
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Kiev
/system package update
set channel=long-term
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

конфиг точки доступа

/interface bridge
add admin-mac=DC:2C:6E:B8:44:4C auto-mac=no comment=defconf name=bridgeLocal
/interface wireless
# managed by CAPsMAN
# channel: 2447/20-eC/gn(28dBm), SSID: RiOni, CAPsMAN forwarding
set [ find default-name=wlan1 ] ssid=MikroTik
# managed by CAPsMAN
# channel: 5200/20-eCee/ac(14dBm), SSID: RiOni, CAPsMAN forwarding
set [ find default-name=wlan2 ] ssid=MikroTik
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/interface bridge port
add bridge=bridgeLocal comment=defconf interface=ether1
add bridge=bridgeLocal comment=defconf interface=ether2
add bridge=bridgeLocal interface=wlan2
add bridge=bridgeLocal interface=wlan1
/interface list member
add interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=wlan2 list=LAN
add interface=wlan1 list=LAN
/interface wireless cap
#
set bridge=bridgeLocal discovery-interfaces=bridgeLocal enabled=yes interfaces=wlan1,wlan2
/ip dhcp-client
add comment=defconf disabled=no interface=bridgeLocal
/system clock
set time-zone-name=Europe/Kiev

что делаю не так ?
 

Edited 2022-05-11 09:32:26 by DAnEq
добавил конфиги

[Туйон 634]

56 минут назад, DAnEq сказал:

mikrotik hex poe lite

Зачем?

56 минут назад, DAnEq сказал:

что делаю не так ?

https://mikrotik.com/product/RB750UPr2

Читаем внимательно что ЭТО такое.

P.S. Ладно, может я не верно понял.

В  mikrotik hex poe lite  - вафли НЕТ.

P.S.S. Или Вы таки имеете в виду что купили НЕСКОЛЬКО точек CAP и как роутер HEX ?

[DAnEq 5]

затем что не надо инжекторы питания городить

да и бесшовный роуминг то такое, в принципе можно и без него
 

6 минут назад, Туйон сказал:

Зачем?

https://mikrotik.com/product/RB750UPr2

Читаем внимательно что ЭТО такое.

проводной роутер без вайфай
capsman и меш вроде должны работать

[H_U_L_K 238]

Вопрос 1 - правда. Capsman это не бесшовный роуминг. Но для дома/небольшого офиса более чем хватает.

 

 

[Alver 235]

Дело не только в том, что клиенты не получают IP потому что там в конфигах  что то не то.

 Вам нужно для начала уяснить саму архитектуру сети, что вы хотите построить

        Во- первых, Микротик вайфай в том числе вместе с  контроллером ( это проводное устройство)  Капсман  не поддерживают  бесшовный  роуминг.

И вообще то, что понимается под роумингом  возможно вам вообще не нужно. Но переключение клиентов между точками доступа нужно.

У Микротик для переключения клиентов между точками доступа применяется     костыль  - так называемый псевдо-роуминг, заключающийся  в дисконекте клиента от устройства доступа  при снижении сигнала ниже заданного порога. Клиент после дисконекта от устройства доступа ищет путем перебора частотных каналов  новое устройство доступа  и заново подключается  к нему, что может по времени занимать  до  1-5 сек.   

При этом каждая  точка Микротик вайфай должна  работать в режиме  Access Point ( не WiFi Router ), то есть  клиенты должны получать  IP с внешнего DHCP сервера. 

 При переподключении клиента к новому устройству доступа  клиент  по новому получает   IP адрес  ( возможно тот же самый) с потерей сессий работы приложений, вынужден проходить процедуру повторной аутентификации, редиректиться  на стартовую страницу и др.

           Для частичного решения проблемы с обновлением IP адреса и повторной аутентификацией клиента может использоваться  контроллер с еще одним костылем псевдо-роуминга,  который запоминает   MAC адреса клиентов в сети и при повторном подключении клиента в сеть при смене вайфай роутера блокирует его повторную аутентификацию. Такая схема псевдо-роуминга реализуется, например,  в сети на домашних вайфай роутерах Mikrotik  c контролером CAPsMAN . И вообще Капсман это больше централизованный конфигуратор, нежели контроллер доступа. 

          Такая   схема объединения нескольких устройств доступа  в единую сеть без  роуминга  работает при небольшом количестве (два-три) вайфай роутера в сети  с низкой плотностью их размещения и слабого перекрытия их зон обслуживания. При плотном размещении  большого количества устройств доступа  в сети работа клиентов на часто перегруженных клиентами и трафиком устройствах доступа, постоянные  дисконекты клиентов, хаотичное  метание клиентов  между устройствами  доступа с  перерывами в связи до 5 секунд, широковещательный шторм приводят к хаосу и деградации  сети.

ЗЫ

Подробнее см  здесь. Раздел  4. Масштабирование беспроводной сети   

 

 

 

Edited 2022-05-11 16:54:43 by Alver

[Ca6ko 0]

12 часов назад, DAnEq сказал:

что делаю не так ?

Несколько ошибок. 1.  на САР нужно сделать сброс на заводские настройки в режиме САР. (Это самый быстрый способ, что бы не расписывать здесь все ошибки)

 

12 часов назад, DAnEq сказал:

(в моем видении это когда точки сами смотрят на какой из них сигнал от клиента сильнее и переключают клиента сами без потери пакетов),

вопрос 1 - правда ли это ?

Не правда, по стандарту WiFi только клиент решает куда ему подключатся, точка доступа ему может только помочь выбрать, но окончательное решение только за клиентом.

Capsman   это "мелкошовный" роуминг, чего для 95% процентов потребителей хватает с головой. В чем заключается мелкошовность? в том что при переходе от одной точки к другой иногда разрывается видео звонок или аудио звонок, во всех остальных бытовых условиях переключения незаметно.

 

По остальным не работающим моментам в конфиге, Вы опишите что хотите в итоге получить. У Вас созданы отдельные DHCP сервера для каждой точки САР. но они не настроены. Каждая точка САР изолирована от широковещательного домена и при этом одинаковая адресация что на бридже что на каждом интерфейсе САР, Как маршрутизатор должен догадаться какого клиента выбрать, если у Вас может быть 3 устройства с одинаковым IP адресом?

Вам нужно  разобраться с настройкой сети и работой WiFi. Настройка WiFi сети из нескольких точек требует в разы больше знаний о его работе, чем настройка одной.

Все инструкции по настройке Capsman, рассказывают как настраивать параметры точек через него, а вот какие параметры WiFi устанавливать должен знать инженер. 

Если хотите могу помочь настроить.

[Alver 235]

7 часов назад, Ca6ko сказал:

Capsman   это "мелкошовный" роуминг, чего для 95% процентов потребителей хватает с головой. В чем заключается мелкошовность? в том что при переходе от одной точки к другой иногда разрывается видео звонок или аудио звонок, во всех остальных бытовых условиях переключения незаметно.

Микротик вайфай -это домашний/малоофисный вайфай роутер/точка доступа. Один  Микротик ( даже самой последней модели ) может обслуживать до   10+ concurent   юзеров. Если нужно больше клиентов, то сеть нужно масштабировать, то есть ставить 2-3 точки доступа. Не больше, потому что костыльная схема сброса точкой доступа  Микротик клиентов при смене клиентом точек  доступа  перестает адекватно  работать.

Скольким % ( 95 или меньше) корпоративным потребителям достаточно ДВЕ-ТРИ точки доступа типа Микротик с невысокой нагрузкой трафиком - вопрос  маркетинговый.  По моему убеждению лучше не экономить пару сотен USD  и поставить ОДНУ точку доступа типа Enterprise которая держит 100+ клиентов. И понятно, AP Enterprise умеет делать роуминг и не только.

Тем самым схема что 10 Микротик лучше одной AP Enterprise - не работает.

   Но если надо в небольшом офисе обслужить  пару десятков клиентов  на невысокой скорости ( у Микротика нет пока гигабитных WiFi6 ТД) и собственно прерывание связи при переходе клиентов между вайфай ТД некритично , то это может быть  рабочее решение. Но при этом надо иметь в виду, что при этом

- клиент при переключении между ТД  , вынужден проходить процедуру повторной аутентификации,  в случае Hotspot редиректиться  на стартовую страницу  Splash Page   и др. 

-  путем  запоминания    MAC адреса клиентов в сети контролером (  обычным роутером  c настройкой в режиме  hotspot)   при повторном подключении клиента в сеть при смене вайфай роутера  можно блокировать повторную аутентификацию клиента.  Однако  данное решение  не работает при защищенном доступе 802.1x  - MAC   клиентов зашифрованы. Не работает эта схема  и  при применении в сети   соединения по MESH и Repeater  при котором   реальные MAC    клиентов не видны   контроллеру доступа.

-  при плотном размещении   устройств доступа  в сети с перекрытием зон обслуживания клиенты, даже находясь без движения  на одном месте, из- за флуктуаций радиосигнала (обычно +- 5 dB) постоянно дисконектятся и переподключаются между устойствами доступа.  

Если все это некритично, то решение на двух-трех Микротик AP - дешево и сердито.    

Капсман вообще не нужен. Поднимаете на центральном роутере типа RB750UPr2  DHCP сервер  и hotspot с запоминанием MAC ( или куки) всех клиентов . Вайфай Микротики должны пропускать раздачу IP своим клиентам , то есть работать в бридже ( Access Point mode) , а не NAT( WiFi Router mode).

 

Edited 2022-05-12 05:28:02 by Alver