CAPsMAN v2 на MikroTik — бесшовный Wi-Fi роуминг
RouterOS 7.xWireless11 мин330 мар. 2026 г.
CAPsMAN (Controlled Access Point system Manager) — встроенный в RouterOS контроллер точек доступа Wi-Fi. Он позволяет централизованно управлять десятками точек доступа из одного места: задавать SSID, безопасность, каналы, мощность, VLAN и политики. В RouterOS 7 появилась полностью переписанная версия CAPsMAN v2, использующая новый пакет wifi вместо устаревшего wireless. В этом руководстве мы настроим CAPsMAN v2 с нуля: сконфигурируем контроллер (Manager), подключим CAP-точки, настроим провижининг, VLAN через datapath, включим Fast Transition (802.11r) и разберём мониторинг клиентов. Все команды приведены для RouterOS 7.20+ с пакетом wifi.
Описание
CAPsMAN v1 vs v2: что изменилось
В RouterOS 6 и ранних версиях 7 использовался CAPsMAN v1, работающий с пакетом wireless и командами /caps-man. В RouterOS 7.13+ MikroTik представил CAPsMAN v2, интегрированный с новым пакетом wifi. Это принципиально другая система:
| Параметр | CAPsMAN v1 (/caps-man) | CAPsMAN v2 (/interface/wifi) |
|---|---|---|
| Пакет | wireless | wifi |
| Команды | /caps-man/... | /interface/wifi/capsman, /interface/wifi/cap |
| Совместимость | Любые устройства с wireless | Только устройства с wifi-пакетом |
| Поддержка Wi-Fi 6 | Нет (ax не поддерживается) | Да (802.11ax полностью) |
| Fast Transition (802.11r) | Нет | Да |
| Конфигурация | configuration, channel, security, datapath | Общий configuration profile |
| Provisioning | Сопоставление по radio-mac/name | Гибкие правила по MAC, модели, identity |
| WPA3 | Нет | Да |
| Мониторинг | Базовый | Расширенный (SNR, MCS, airtime) |
Важно: CAPsMAN v2 работает только с устройствами, использующими пакет wifi (hAP ax2, hAP ax3, cAP ax, Audience и другие Wi-Fi 6 устройства). Старые устройства (hAP ac2, cAP ac и пр.) используют пакет wireless и совместимы только с CAPsMAN v1.
Архитектура CAPsMAN
Система состоит из двух ролей:
- Manager (контроллер) — маршрутизатор, управляющий всеми точками доступа. Обычно это центральный роутер сети. Manager хранит все конфигурации и распределяет их по CAP-устройствам.
- CAP (Controlled Access Point) — управляемая точка доступа. Получает конфигурацию от Manager, самостоятельно ничего не хранит (кроме настроек CAP-подключения).
Взаимодействие Manager и CAP происходит по протоколу CAPsMAN (порт TCP/UDP 5246–5247). CAP обнаруживает Manager по L2 broadcast или по IP-адресу (L3).
Режимы обработки трафика:
- Local forwarding — данные Wi-Fi клиентов коммутируются прямо на CAP, Manager управляет только конфигурацией. Оптимально для производительности.
- Manager forwarding — весь трафик Wi-Fi клиентов проходит через Manager (тоннелируется). Полезно для централизованного firewall, но увеличивает нагрузку на Manager.
Требования
- Контроллер: любой MikroTik с RouterOS 7.20+ (не обязательно Wi-Fi устройство)
- CAP-точки: устройства с пакетом
wifi(hAP ax2, hAP ax3, cAP ax, Audience и др.) - Сеть: L2-связность между Manager и CAP (один broadcast domain) или настроенный L3 discovery
Настройка
Шаг 1. Подготовка — обновление RouterOS
На всех устройствах (Manager и CAP) обновите RouterOS до последней стабильной версии:
[admin@MikroTik] ># Проверяем текущую версию /system/resource/print # Обновляемся /system/package/update/check-for-updates /system/package/update/install
Убедитесь, что пакет wifi установлен:
[admin@MikroTik] >/system/package/print where name=wifi
Если пакет отсутствует — устройство не поддерживает CAPsMAN v2.
Шаг 2. Настройка Manager (контроллера)
На центральном маршрутизаторе включаем CAPsMAN Manager:
[admin@MikroTik] ># Включаем CAPsMAN Manager /interface/wifi/capsman/set enabled=yes interfaces=bridge package=required-for-cap # Проверяем статус /interface/wifi/capsman/print
Параметр interfaces указывает, на каких интерфейсах Manager слушает подключения CAP. Обычно это bridge, в который входят LAN-порты. Параметр package=required-for-cap означает, что CAP-устройству необходим пакет wifi для подключения.
Шаг 3. Создание конфигурационных профилей
Создаём профили безопасности, каналов и datapath:
[admin@MikroTik] ># Профиль безопасности (WPA2 + WPA3) /interface/wifi/security/add \ name=sec-office \ authentication-types=wpa2-psk,wpa3-psk \ passphrase="MyStr0ngW1F1Key!" \ ft=yes \ ft-over-ds=yes # Конфигурация канала для 2.4 ГГц /interface/wifi/channel/add \ name=ch-2ghz \ frequency=2412,2437,2462 \ band=2ghz-ax \ width=20mhz # Конфигурация канала для 5 ГГц /interface/wifi/channel/add \ name=ch-5ghz \ frequency=5180,5220,5260,5300,5500,5540,5580,5620,5660,5700 \ band=5ghz-ax \ width=80mhz # Datapath для основной сети (local forwarding через bridge) /interface/wifi/datapath/add \ name=dp-office \ bridge=bridge \ client-isolation=no
Теперь создаём полные конфигурации для каждого радио:
[admin@MikroTik] ># Конфигурация для 2.4 ГГц /interface/wifi/configuration/add \ name=cfg-2ghz-office \ ssid="Office-WiFi" \ country="Russia" \ security=sec-office \ channel=ch-2ghz \ datapath=dp-office \ mode=ap # Конфигурация для 5 ГГц /interface/wifi/configuration/add \ name=cfg-5ghz-office \ ssid="Office-WiFi" \ country="Russia" \ security=sec-office \ channel=ch-5ghz \ datapath=dp-office \ mode=ap
Обратите внимание: один и тот же SSID используется на обоих диапазонах — это стандартная практика для бесшовного роуминга. Клиент сам выбирает лучший диапазон.
Шаг 4. Provisioning — правила провижининга
Provisioning определяет, какие конфигурации применяются к каким радио-интерфейсам CAP-устройств:
[admin@MikroTik] ># Провижининг для 2.4 ГГц радио /interface/wifi/provisioning/add \ supported-bands=2ghz-ax \ action=create-dynamic-enabled \ master-configuration=cfg-2ghz-office \ name-format=cap-2ghz-%I \ comment="2.4GHz APs" # Провижининг для 5 ГГц радио /interface/wifi/provisioning/add \ supported-bands=5ghz-ax \ action=create-dynamic-enabled \ master-configuration=cfg-5ghz-office \ name-format=cap-5ghz-%I \ comment="5GHz APs"
Параметры сопоставления:
| Параметр | Описание |
|---|---|
supported-bands | Сопоставление по поддерживаемому диапазону |
radio-mac | Конкретный MAC-адрес радио |
identity | System identity CAP-устройства |
address-range | Диапазон IP-адресов CAP |
action | create-dynamic-enabled — создать и включить, create-disabled — создать выключенным |
name-format | Шаблон имени интерфейса (%I — identity, %C — MAC) |
master-configuration | Основная конфигурация Wi-Fi |
slave-configuration | Дополнительная конфигурация (второй SSID на том же радио) |
Для разных этажей или зон можно создать отдельные правила с привязкой к radio-mac или identity:
[admin@MikroTik] ># CAP на 1 этаже — канал 36 /interface/wifi/channel/add name=ch-5ghz-floor1 frequency=5180 band=5ghz-ax width=80mhz /interface/wifi/configuration/add name=cfg-5ghz-floor1 ssid="Office-WiFi" country="Russia" security=sec-office channel=ch-5ghz-floor1 datapath=dp-office mode=ap /interface/wifi/provisioning/add \ supported-bands=5ghz-ax \ identity="cap-floor1" \ action=create-dynamic-enabled \ master-configuration=cfg-5ghz-floor1 # CAP на 2 этаже — канал 52 /interface/wifi/channel/add name=ch-5ghz-floor2 frequency=5260 band=5ghz-ax width=80mhz /interface/wifi/configuration/add name=cfg-5ghz-floor2 ssid="Office-WiFi" country="Russia" security=sec-office channel=ch-5ghz-floor2 datapath=dp-office mode=ap /interface/wifi/provisioning/add \ supported-bands=5ghz-ax \ identity="cap-floor2" \ action=create-dynamic-enabled \ master-configuration=cfg-5ghz-floor2
Шаг 5. Настройка VLAN через CAPsMAN
Часто нужно несколько SSID с разными VLAN (офис, гости, IoT). CAPsMAN v2 позволяет пробрасывать VLAN через datapath:
[admin@MikroTik] ># Datapath для гостевой сети (VLAN 100) /interface/wifi/datapath/add \ name=dp-guest \ bridge=bridge \ vlan-id=100 \ client-isolation=yes # Конфигурация безопасности для гостей /interface/wifi/security/add \ name=sec-guest \ authentication-types=wpa2-psk \ passphrase="GuestAccess2024" # Конфигурация гостевой сети (5 ГГц) /interface/wifi/configuration/add \ name=cfg-5ghz-guest \ ssid="Guest-WiFi" \ country="Russia" \ security=sec-guest \ channel=ch-5ghz \ datapath=dp-guest \ mode=ap # Обновляем provisioning — добавляем гостевую сеть как slave /interface/wifi/provisioning/set [find where comment="5GHz APs"] \ slave-configuration=cfg-5ghz-guest
На Manager настраиваем VLAN на bridge:
[admin@MikroTik] ># VLAN filtering на bridge /interface/bridge/set bridge vlan-filtering=yes # VLAN 100 для гостевой сети /interface/bridge/vlan/add bridge=bridge vlan-ids=100 tagged=bridge # IP-адрес для гостевого VLAN /interface/vlan/add interface=bridge vlan-id=100 name=vlan100-guest /ip/address/add address=10.10.100.1/24 interface=vlan100-guest # DHCP для гостевой сети /ip/pool/add name=pool-guest ranges=10.10.100.10-10.10.100.254 /ip/dhcp-server/add name=dhcp-guest interface=vlan100-guest address-pool=pool-guest /ip/dhcp-server/network/add address=10.10.100.0/24 gateway=10.10.100.1 dns-server=10.10.100.1
Шаг 6. Настройка CAP (точек доступа)
На каждой точке доступа:
[admin@MikroTik] ># Задаём уникальное имя (для идентификации в provisioning) /system/identity/set name=cap-floor1 # Включаем режим CAP /interface/wifi/cap/set \ enabled=yes \ discovery-interfaces=bridge \ slaves-datapath=dp-local \ slaves-static=no # Если Manager и CAP в разных подсетях — указываем IP /interface/wifi/cap/set \ enabled=yes \ caps-man-addresses=192.168.88.1 \ slaves-datapath=dp-local \ slaves-static=no # Проверяем статус подключения к Manager /interface/wifi/cap/print
После подключения CAP к Manager все Wi-Fi интерфейсы на CAP будут управляться контроллером. Локальная конфигурация Wi-Fi на CAP игнорируется.
Если CAP не нашёл Manager, проверьте:
[admin@MikroTik] ># На CAP: есть ли связность с Manager /ping 192.168.88.1 # На Manager: включён ли CAPsMAN /interface/wifi/capsman/print # На Manager: видно ли CAP в списке remote-cap /interface/wifi/capsman/remote-cap/print
Шаг 7. Fast Transition (802.11r)
802.11r ускоряет роуминг между точками доступа. Вместо полной аутентификации при переключении клиент проходит быструю pre-authentication. Это критично для VoIP и видеозвонков — переключение без 802.11r занимает 200–500 мс (разрыв звука), а с 802.11r — менее 50 мс.
Fast Transition уже включён в нашем профиле безопасности:
[admin@MikroTik] >/interface/wifi/security/print where name=sec-office # Должно быть: ft=yes ft-over-ds=yes
Параметры 802.11r:
| Параметр | Описание |
|---|---|
ft=yes | Включить Fast Transition |
ft-over-ds=yes | FT через Distribution System (быстрее, чем over-the-air) |
ft-preserve-vlanid=yes | Сохранять VLAN ID при роуминге |
Важные условия для работы 802.11r:
- Одинаковый SSID на всех точках доступа (уже обеспечено CAPsMAN)
- Одинаковые параметры безопасности
- Клиент должен поддерживать 802.11r (большинство современных устройств)
- Все AP должны быть в одном Mobility Domain (CAPsMAN обеспечивает автоматически)
Проверка работы FT:
[admin@MikroTik] ># На Manager: смотрим события роуминга /log/print where topics~"wifi" # Список подключённых клиентов с информацией о роуминге /interface/wifi/registration-table/print detail
Проверка
Мониторинг подключённых CAP
[admin@MikroTik] ># Список всех подключённых CAP-устройств /interface/wifi/capsman/remote-cap/print # Подробная информация о каждом CAP /interface/wifi/capsman/remote-cap/print detail
Вывод покажет:
| Поле | Описание |
|---|---|
identity | System identity CAP-устройства |
board | Модель устройства |
version | Версия RouterOS |
address | IP-адрес CAP |
state | Состояние (Run = работает) |
radios | Количество радио-интерфейсов |
Мониторинг подключённых клиентов
[admin@MikroTik] ># Все подключённые Wi-Fi клиенты /interface/wifi/registration-table/print # Подробно — с уровнем сигнала, скоростью, MCS /interface/wifi/registration-table/print detail # Клиенты конкретной точки доступа /interface/wifi/registration-table/print where interface~"cap-5ghz" # Количество клиентов /interface/wifi/registration-table/print count-only
Ключевые метрики клиента:
| Метрика | Хорошее значение | Плохое значение |
|---|---|---|
| Signal strength | -30...-65 dBm | хуже -75 dBm |
| TX/RX rate | 200+ Мбит/с | менее 50 Мбит/с |
| MCS index | 7+ (HT), 9+ (VHT/HE) | 0–3 |
| SNR | 25+ dB | менее 15 dB |
Мониторинг радио-интерфейсов
[admin@MikroTik] ># Список всех Wi-Fi интерфейсов (локальных и удалённых) /interface/wifi/print # Статус конкретного интерфейса /interface/wifi/monitor [find where name~"cap-5ghz-floor1"]
Проверка роуминга
Для теста роуминга:
- Подключите ноутбук к Wi-Fi
- Начните непрерывный ping (
ping -t 192.168.88.1) - Физически переместитесь от одной точки к другой
- Наблюдайте потерю пакетов — при корректном 802.11r потеря составит 0–1 пакет
На Manager в логах должны появиться записи о роуминге:
[admin@MikroTik] >/log/print where message~"roam"
Типичные ошибки
1. CAP не подключается к Manager
Симптом: CAP не появляется в /interface/wifi/capsman/remote-cap/print.
Причина: нет L2-связности, firewall блокирует порты CAPsMAN, или пакеты разные (wifi vs wireless).
Решение:
[admin@MikroTik] ># Проверяем, что пакет wifi установлен на CAP /system/package/print where name=wifi # Проверяем firewall — нужны порты 5246-5247 UDP /ip/firewall/filter/add \ chain=input \ protocol=udp \ dst-port=5246-5247 \ action=accept \ comment="CAPsMAN discovery" \ place-before=0 # Если Manager и CAP в разных подсетях — укажите IP вместо discovery /interface/wifi/cap/set caps-man-addresses=192.168.88.1
2. Клиенты подключаются, но нет интернета
Симптом: Wi-Fi подключение есть, IP получен, но ping до шлюза или интернета не работает.
Причина: неправильный datapath — трафик не попадает в bridge или VLAN.
Решение:
[admin@MikroTik] ># Проверяем, что datapath указывает на правильный bridge /interface/wifi/datapath/print # Проверяем, что интерфейс CAP добавлен в bridge /interface/bridge/port/print # Для VLAN — проверяем, что VLAN настроен на bridge /interface/bridge/vlan/print
При local forwarding CAP-интерфейс должен быть в том же bridge, что и LAN-порты. При manager forwarding трафик тоннелируется на Manager — убедитесь, что на Manager есть маршруты.
3. Разная конфигурация на разных CAP
Симптом: одни точки раздают правильный SSID, другие — нет или не включаются.
Причина: правила provisioning не сопоставляются или конфликтуют.
Решение:
[admin@MikroTik] ># Проверяем правила provisioning /interface/wifi/provisioning/print detail # Проверяем, какие интерфейсы созданы /interface/wifi/print # Принудительно перепровижить CAP /interface/wifi/capsman/remote-cap/set [find where identity="cap-floor1"] action=reprovision
Убедитесь, что правила provisioning не перекрываются. Более специфичные правила (с radio-mac или identity) должны быть выше в списке.
4. 802.11r не работает — долгий роуминг
Симптом: при переходе между точками связь обрывается на 1–3 секунды.
Причина: FT не включён, клиент не поддерживает 802.11r, или WPA3 конфликтует с FT.
Решение:
[admin@MikroTik] ># Проверяем, что FT включён в профиле безопасности /interface/wifi/security/print # Если FT выключен — включаем /interface/wifi/security/set sec-office ft=yes ft-over-ds=yes
Некоторые старые клиенты (Android < 8, Windows 7) не поддерживают 802.11r. Для смешанных сетей можно создать отдельный SSID без FT.
5. Интерференция — каналы пересекаются
Симптом: низкая скорость, частые отключения, высокий retry rate.
Причина: несколько AP работают на одном канале в зоне прямой видимости.
Решение: вручную распределите каналы через provisioning для каждого этажа/зоны. Для 5 ГГц используйте каналы с шагом 80 МГц (36, 52, 100, 116, 132, 149):
[admin@MikroTik] ># Сканирование эфира для выбора свободного канала /interface/wifi/scan [find where name~"wifi1"] duration=10 # Назначение конкретных каналов разным AP через provisioning # (см. Шаг 4 — настройка по этажам)
Для 2.4 ГГц используйте только неперекрывающиеся каналы: 1, 6, 11.
6. Manager forwarding — высокая нагрузка
Симптом: CPU Manager загружен на 70–100%, Wi-Fi работает медленно.
Причина: весь трафик клиентов тоннелируется через Manager, перегружая процессор.
Решение: переключитесь на local forwarding:
[admin@MikroTik] ># Меняем datapath на local forwarding /interface/wifi/datapath/set dp-office bridge=bridge
Manager forwarding оправдан только если нужна централизованная фильтрация трафика (captive portal, firewall) и в сети до 20–30 клиентов.
Рекомендации по масштабированию
| Количество AP | Рекомендация |
|---|---|
| 1–5 | hAP ax3 как Manager + CAP одновременно |
| 5–15 | Отдельный Manager (CCR или RB5009), cAP ax как CAP |
| 15–50 | RB5009 или CCR2004 как Manager, VLAN-сегментация |
| 50+ | Кластер Manager (два устройства), мониторинг через SNMP |
Итоговая конфигурация Manager
[admin@MikroTik] ># --- Manager --- /interface/wifi/capsman/set enabled=yes interfaces=bridge # Безопасность /interface/wifi/security/add name=sec-office authentication-types=wpa2-psk,wpa3-psk passphrase="MyStr0ngW1F1Key!" ft=yes ft-over-ds=yes # Каналы /interface/wifi/channel/add name=ch-2ghz frequency=2412,2437,2462 band=2ghz-ax width=20mhz /interface/wifi/channel/add name=ch-5ghz frequency=5180,5220,5260,5300,5500,5540,5580,5620 band=5ghz-ax width=80mhz # Datapath /interface/wifi/datapath/add name=dp-office bridge=bridge client-isolation=no # Конфигурации /interface/wifi/configuration/add name=cfg-2ghz ssid="Office-WiFi" country="Russia" security=sec-office channel=ch-2ghz datapath=dp-office mode=ap /interface/wifi/configuration/add name=cfg-5ghz ssid="Office-WiFi" country="Russia" security=sec-office channel=ch-5ghz datapath=dp-office mode=ap # Provisioning /interface/wifi/provisioning/add supported-bands=2ghz-ax action=create-dynamic-enabled master-configuration=cfg-2ghz name-format=cap-2ghz-%I /interface/wifi/provisioning/add supported-bands=5ghz-ax action=create-dynamic-enabled master-configuration=cfg-5ghz name-format=cap-5ghz-%I # --- На каждом CAP --- /system/identity/set name=cap-floor1 /interface/wifi/cap/set enabled=yes discovery-interfaces=bridge
Эта конфигурация обеспечивает единый SSID на всех точках доступа, автоматическое распределение конфигураций через provisioning, быстрый роуминг через 802.11r и централизованное управление с одного контроллера.
[admin@MikroTik] >
# Проверяем текущую версию /system/resource/print # Обновляемся /system/package/update/check-for-updates /system/package/update/install /system/package/print where name=wifi # Включаем CAPsMAN Manager /interface/wifi/capsman/set enabled=yes interfaces=bridge package=required-for-cap # Проверяем статус /interface/wifi/capsman/print # Профиль безопасности (WPA2 + WPA3) /interface/wifi/security/add \ name=sec-office \ authentication-types=wpa2-psk,wpa3-psk \ passphrase="MyStr0ngW1F1Key!" \ ft=yes \ ft-over-ds=yes # Конфигурация канала для 2.4 ГГц /interface/wifi/channel/add \ name=ch-2ghz \ frequency=2412,2437,2462 \ band=2ghz-ax \ width=20mhz # Конфигурация канала для 5 ГГц /interface/wifi/channel/add \ name=ch-5ghz \ frequency=5180,5220,5260,5300,5500,5540,5580,5620,5660,5700 \ band=5ghz-ax \ width=80mhz # Datapath для основной сети (local forwarding через bridge) /interface/wifi/datapath/add \ name=dp-office \ bridge=bridge \ client-isolation=no # Конфигурация для 2.4 ГГц /interface/wifi/configuration/add \ name=cfg-2ghz-office \ ssid="Office-WiFi" \ country="Russia" \ security=sec-office \ channel=ch-2ghz \ datapath=dp-office \ mode=ap # Конфигурация для 5 ГГц /interface/wifi/configuration/add \ name=cfg-5ghz-office \ ssid="Office-WiFi" \ country="Russia" \ security=sec-office \ channel=ch-5ghz \ datapath=dp-office \ mode=ap # Провижининг для 2.4 ГГц радио /interface/wifi/provisioning/add \ supported-bands=2ghz-ax \ action=create-dynamic-enabled \ master-configuration=cfg-2ghz-office \ name-format=cap-2ghz-%I \ comment="2.4GHz APs" # Провижининг для 5 ГГц радио /interface/wifi/provisioning/add \ supported-bands=5ghz-ax \ action=create-dynamic-enabled \ master-configuration=cfg-5ghz-office \ name-format=cap-5ghz-%I \ comment="5GHz APs" # CAP на 1 этаже — канал 36 /interface/wifi/channel/add name=ch-5ghz-floor1 frequency=5180 band=5ghz-ax width=80mhz /interface/wifi/configuration/add name=cfg-5ghz-floor1 ssid="Office-WiFi" country="Russia" security=sec-office channel=ch-5ghz-floor1 datapath=dp-office mode=ap /interface/wifi/provisioning/add \ supported-bands=5ghz-ax \ identity="cap-floor1" \ action=create-dynamic-enabled \ master-configuration=cfg-5ghz-floor1 # CAP на 2 этаже — канал 52 /interface/wifi/channel/add name=ch-5ghz-floor2 frequency=5260 band=5ghz-ax width=80mhz /interface/wifi/configuration/add name=cfg-5ghz-floor2 ssid="Office-WiFi" country="Russia" security=sec-office channel=ch-5ghz-floor2 datapath=dp-office mode=ap /interface/wifi/provisioning/add \ supported-bands=5ghz-ax \ identity="cap-floor2" \ action=create-dynamic-enabled \ master-configuration=cfg-5ghz-floor2 # Datapath для гостевой сети (VLAN 100) /interface/wifi/datapath/add \ name=dp-guest \ bridge=bridge \ vlan-id=100 \ client-isolation=yes # Конфигурация безопасности для гостей /interface/wifi/security/add \ name=sec-guest \ authentication-types=wpa2-psk \ passphrase="GuestAccess2024" # Конфигурация гостевой сети (5 ГГц) /interface/wifi/configuration/add \ name=cfg-5ghz-guest \ ssid="Guest-WiFi" \ country="Russia" \ security=sec-guest \ channel=ch-5ghz \ datapath=dp-guest \ mode=ap # Обновляем provisioning — добавляем гостевую сеть как slave /interface/wifi/provisioning/set [find where comment="5GHz APs"] \ slave-configuration=cfg-5ghz-guest # VLAN filtering на bridge /interface/bridge/set bridge vlan-filtering=yes # VLAN 100 для гостевой сети /interface/bridge/vlan/add bridge=bridge vlan-ids=100 tagged=bridge # IP-адрес для гостевого VLAN /interface/vlan/add interface=bridge vlan-id=100 name=vlan100-guest /ip/address/add address=10.10.100.1/24 interface=vlan100-guest # DHCP для гостевой сети /ip/pool/add name=pool-guest ranges=10.10.100.10-10.10.100.254 /ip/dhcp-server/add name=dhcp-guest interface=vlan100-guest address-pool=pool-guest /ip/dhcp-server/network/add address=10.10.100.0/24 gateway=10.10.100.1 dns-server=10.10.100.1 # Задаём уникальное имя (для идентификации в provisioning) /system/identity/set name=cap-floor1 # Включаем режим CAP /interface/wifi/cap/set \ enabled=yes \ discovery-interfaces=bridge \ slaves-datapath=dp-local \ slaves-static=no # Если Manager и CAP в разных подсетях — указываем IP /interface/wifi/cap/set \ enabled=yes \ caps-man-addresses=192.168.88.1 \ slaves-datapath=dp-local \ slaves-static=no # Проверяем статус подключения к Manager /interface/wifi/cap/print # На CAP: есть ли связность с Manager /ping 192.168.88.1 # На Manager: включён ли CAPsMAN /interface/wifi/capsman/print # На Manager: видно ли CAP в списке remote-cap /interface/wifi/capsman/remote-cap/print /interface/wifi/security/print where name=sec-office # Должно быть: ft=yes ft-over-ds=yes # На Manager: смотрим события роуминга /log/print where topics~"wifi" # Список подключённых клиентов с информацией о роуминге /interface/wifi/registration-table/print detail # Список всех подключённых CAP-устройств /interface/wifi/capsman/remote-cap/print # Подробная информация о каждом CAP /interface/wifi/capsman/remote-cap/print detail # Все подключённые Wi-Fi клиенты /interface/wifi/registration-table/print # Подробно — с уровнем сигнала, скоростью, MCS /interface/wifi/registration-table/print detail # Клиенты конкретной точки доступа /interface/wifi/registration-table/print where interface~"cap-5ghz" # Количество клиентов /interface/wifi/registration-table/print count-only # Список всех Wi-Fi интерфейсов (локальных и удалённых) /interface/wifi/print # Статус конкретного интерфейса /interface/wifi/monitor [find where name~"cap-5ghz-floor1"] /log/print where message~"roam" # Проверяем, что пакет wifi установлен на CAP /system/package/print where name=wifi # Проверяем firewall — нужны порты 5246-5247 UDP /ip/firewall/filter/add \ chain=input \ protocol=udp \ dst-port=5246-5247 \ action=accept \ comment="CAPsMAN discovery" \ place-before=0 # Если Manager и CAP в разных подсетях — укажите IP вместо discovery /interface/wifi/cap/set caps-man-addresses=192.168.88.1 # Проверяем, что datapath указывает на правильный bridge /interface/wifi/datapath/print # Проверяем, что интерфейс CAP добавлен в bridge /interface/bridge/port/print # Для VLAN — проверяем, что VLAN настроен на bridge /interface/bridge/vlan/print # Проверяем правила provisioning /interface/wifi/provisioning/print detail # Проверяем, какие интерфейсы созданы /interface/wifi/print # Принудительно перепровижить CAP /interface/wifi/capsman/remote-cap/set [find where identity="cap-floor1"] action=reprovision # Проверяем, что FT включён в профиле безопасности /interface/wifi/security/print # Если FT выключен — включаем /interface/wifi/security/set sec-office ft=yes ft-over-ds=yes # Сканирование эфира для выбора свободного канала /interface/wifi/scan [find where name~"wifi1"] duration=10 # Назначение конкретных каналов разным AP через provisioning # (см. Шаг 4 — настройка по этажам) # Меняем datapath на local forwarding /interface/wifi/datapath/set dp-office bridge=bridge # --- Manager --- /interface/wifi/capsman/set enabled=yes interfaces=bridge # Безопасность /interface/wifi/security/add name=sec-office authentication-types=wpa2-psk,wpa3-psk passphrase="MyStr0ngW1F1Key!" ft=yes ft-over-ds=yes # Каналы /interface/wifi/channel/add name=ch-2ghz frequency=2412,2437,2462 band=2ghz-ax width=20mhz /interface/wifi/channel/add name=ch-5ghz frequency=5180,5220,5260,5300,5500,5540,5580,5620 band=5ghz-ax width=80mhz # Datapath /interface/wifi/datapath/add name=dp-office bridge=bridge client-isolation=no # Конфигурации /interface/wifi/configuration/add name=cfg-2ghz ssid="Office-WiFi" country="Russia" security=sec-office channel=ch-2ghz datapath=dp-office mode=ap /interface/wifi/configuration/add name=cfg-5ghz ssid="Office-WiFi" country="Russia" security=sec-office channel=ch-5ghz datapath=dp-office mode=ap # Provisioning /interface/wifi/provisioning/add supported-bands=2ghz-ax action=create-dynamic-enabled master-configuration=cfg-2ghz name-format=cap-2ghz-%I /interface/wifi/provisioning/add supported-bands=5ghz-ax action=create-dynamic-enabled master-configuration=cfg-5ghz name-format=cap-5ghz-%I # --- На каждом CAP --- /system/identity/set name=cap-floor1 /interface/wifi/cap/set enabled=yes discovery-interfaces=bridge
Wireless / CAPsMAN v2 на MikroTik — бесшовный Wi-Fi роуминг
RouterOS 7.x