CAPsMAN od firmy Mikrotik

Po dlouhé době jsem našel konečně něco, co mi na pár dní naplno zaměstnalo hlavu. Je jím docela stará novinka: CAPsMAN od firmy Mikrotik.

Co je CAPsMAN jedním slovem? Něco jako jedno místo, kde máte shrnuté všechny informace o WiFinách rozprostřených po firmě a můžete je centrálně manažovat.

Teorie:

Kdy se takové řešení hodí?

Modelová firma:

Máte 3 budovy, chcete všechny místa ve všech pokrýt WiFi signálem, chcete všechny WiFiny centrálně spravovat, upravovat, mít je pod kontrolou, řídit datové toky, zabezpečit svůj firemní poklad od zvídavých návštěvníků.

Modelová domácnost: 

Máte zahradu, obývák, záchod…A chcete mít vše pokryté WiFinou. Ano, v mnoha ohledech stačí dva routery od firmy TP-Link a nic nemusíte neřešit, ale pokud chcete oddělit síť pro návštěvníky, děti, sebe, prioritizovat rychlosti a nastavit nějaké nejvíc basic firewall pravidla, pak je CAPsMAN výborná volba vzhledem k tomu, že je „zadarmo“.

Jaký hardware lze použít? 

Skoro všechno, co najdete na zemi a je od firmy Mikrotik.

Jak je to cenově?

Vezmeme-li pro domácí použití 3x hAP, jsme na nějakých 1800 kč. Vezmeme-li 3x routery TP-Link WR841N, jsme na 2100 kč.

Jaké jsou nevýhody?

Většina hardware od Mikrotiku jsou řešení s integrovanou anténou. Tedy nižší dosah a pokrytí. Nicménně variabilitou mikrotiku si můžete přes nějakou kartu přes pigtaily dát třeba 2x 5dBi anténu a není co řešit. Stejně tak nákupem hardware, který nemá integrované antény, odpadá tento problém. Nicménně pro domácnosti je toto řešení drahé, pro firmy naopak levné a tím i atraktivní.

Jak je to na trhu?

Na trhu je několik desítek subjektů, které realizují podobnou službu. Velmi dobrou zpětnou vazbu máme od řešení firmy Cisco, což je cenově velmi drahé, ale profesionální řešení s vynikajícím managementem. Cena jednoho AP se pohybuje i od 10 000 kč a výše. Naopak z těch levnějších alternativ pro mé čtenáře (SOHO segment) jsou dostupné produkty od firmy Ubiquiti networks, kteří se tváří jako Apple mezi výrobci rádií. Zaujme především jednoduchost, krásný design. Naopak troufám si říct, že Ubiquiti jsou produkty pro lidi, kteří neumí a nerozumí sítím a chtějí aby „vše na jeden klik fungovalo“. Tato filozofie je dobrá pro běžného uživatele, ale jako síťař bych se za to styděl. Pokud po Ubiquiti produktech chceme obecně něco více, je to opravdu ZLO. Navíc tupé zlo, jen je designově hezké.

Hledáme-li kompromis mezi profesionalitou a cenovou přijatelností, Mikrotik doplňuje právě tuto mezeru na trhu.

Praxe:

Ukáži Vám eleganci CAPsMAN na příkladu aplikace u domácnosti/SOHO. Ještě než začnete, podívejte se na toto video: https://youtu.be/xVTsa59ijD4

Máme  2 routery pro jednoduchost.

  • router 1 – hAP – Tento si definujeme jako CAPsMAN AP
  • router 2 – hAP – Tento si defunujeme jako CAP01

Začneme s CAP01

Po upgrade ROS mu dáme do bridge wlan1 a ethernetové porty. Na Bridge dáme dhcp-klienta a zapneme v sekci wireless CAP.

screenshot-from-2016-11-07-234927

CAP01 je hotov. Když toto zklonujete, můžete si udělat třeba 100 CAP. Jednoduché!

Nyní se pojďme podívat na router, který dělá CAPsMAN AP. Zde se vyžijeme.

Začneme tím, že si definujeme přívodní konektivitu (na ether1) a nahodíme si zde bridge na všechny porty i wlanu. V mém případě jsem si to nazval jako LAN-Bridge (což je například domácí vnitřní síť)

screenshot-from-2016-11-07-235442

Pak nahodíme adresu bridge portu a to nejlépe přes DHCP-klienta

screenshot-from-2016-11-07-235610

Dáme na LAN-Bridge  NAT

screenshot-from-2016-11-07-235734

Tím jsme si zajistili, že na všechny naše CAP0X se dostaneme z naší vnitřní sítě a uvidí se s CAPsMAN AP.

Na CAPsMAN AP si zapneme manažera

screenshot-from-2016-11-07-235912

a nezapomeneme na hlavním routeru (na CAPsMAN AP) nahodit také CAP v sekci wireless.

Teď si dodáme v CAPsMAN/interfaces rozhraní, kde si definujeme mnoho podrobných parametrů (hlavně zabezpečení). tento bod je dobře popsán na níže uvedeném videu od 08 minuty.

Klíčové:  Musíme mezi sebou zbridgeovat správně jednotlivá rozhraní.

Pokusím se to vysvětlit na našem příkladu domácnosti. Mám dva routery:

  • CAPsMAN AP – nachází se v obýváku
  • CAP01 – Nachází se na verandě

Na nich poběží dvě WiFiny (ConnecticaPrivate a ConnecticaPublic)

Pak konfigurace CAPsMAN bude následující:

/caps-man interface
add arp=enabled configuration=Obyvak configuration.ssid=ConnecticaPrivate \
 disabled=no l2mtu=1600 mac-address=6C:3B:6B:68:E9:C5 master-interface=none \
 mtu=1500 name=Obyvak-Private radio-mac=6C:3B:6B:68:E9:C5 security=\
 ConnecticaPrivate
add arp=enabled configuration=Veranda configuration.ssid=ConnecticaPublic \
 disabled=no l2mtu=1600 mac-address=6E:3B:6B:68:E9:C5 master-interface=\
 Obyvak-Private mtu=1500 name=ObyvakPublic radio-mac=00:00:00:00:00:00 \
 security=ConnecticaPublic
add arp=enabled configuration=Obyvak configuration.ssid=ConnecticaPrivate \
 disabled=no l2mtu=1600 mac-address=6C:3B:6B:6A:BE:71 master-interface=none \
 mtu=1500 name=VerandaPrivate radio-mac=6C:3B:6B:6A:BE:71 security=\
 ConnecticaPrivate
add arp=enabled configuration=Veranda configuration.ssid=ConnecticaPublic \
 disabled=no l2mtu=1600 mac-address=6E:3B:6B:6A:BE:71 master-interface=\
 VerandaPrivate mtu=1500 name=Veranda-Public radio-mac=00:00:00:00:00:00 \
 security=ConnecticaPublic
/caps-man configuration
add country="czech republic" mode=ap name=Veranda rx-chains=0,1,2 ssid=veranda \
 tx-chains=0,1,2
add country="czech republic" mode=ap name=Obyvak rx-chains=0,1,2 ssid=obyvak \
 tx-chains=0,1,2

a konfigurace bridge:

/interface bridge
add name=CAPsMAN-Bridge-Private protocol-mode=none
add name=CAPsMAN-Bridge-Public protocol-mode=none
add name=LAN-Bridge protocol-mode=none
/interface bridge port
add bridge=LAN-Bridge interface=wlan1
add bridge=LAN-Bridge interface=ether1
add bridge=LAN-Bridge interface=ether2
add bridge=LAN-Bridge interface=ether3
add bridge=LAN-Bridge interface=ether4
add bridge=CAPsMAN-Bridge-Private interface=Obyvak-Private
add bridge=CAPsMAN-Bridge-Private interface=VerandaPrivate
add bridge=CAPsMAN-Bridge-Public interface=ObyvakPublic
add bridge=CAPsMAN-Bridge-Public interface=Veranda-Public

/interface bridge port
add bridge=LAN-Bridge interface=wlan1
add bridge=LAN-Bridge interface=ether1
add bridge=LAN-Bridge interface=ether2
add bridge=LAN-Bridge interface=ether3
add bridge=LAN-Bridge interface=ether4
add bridge=CAPsMAN-Bridge-Private interface=Obyvak-Private
add bridge=CAPsMAN-Bridge-Private interface=VerandaPrivate
add bridge=CAPsMAN-Bridge-Public interface=ObyvakPublic
add bridge=CAPsMAN-Bridge-Public interface=Veranda-Public

 

Nad výše uvedeným se zastavíme, protože je to jedna z klíčových věcí k pochopení logiky CAPsMAN. Musíme si správně uvědomit, kde je jaký router a co na něm musí běžet. V našem modelovém případě jednoduché domácnosti vidíme, že tam kde je Public WiFi, tam je také bridge public.

Ještě nesmíme zapomenout nastavit  adresy bridge rozhraní:screenshot-from-2016-11-08-001124

NAT:

screenshot-from-2016-11-08-001209

 

a také DHCP servery:

screenshot-from-2016-11-08-001141

A je to hotovo. Na závěr si můžeme dát nějaká pravidla na firewallu:

screenshot-from-2016-11-08-001347

 

a nastavit nějaké jednoduché queues:

screenshot-from-2016-11-08-001426

Jak vidíte, složitost konfigurace CAPsMANA vzrůstá s počtem virtuálních AP a počtem routerů. Při konfiguraci 5 strojů s celkem 1 AP a 3 VirtualAP se dostáváme na poměrně komplexní strukturu (20 interfaces), kde riziko vzniku chyby či přehlédnutí je opravdu velké. Pokud to půjde, užívejte komentáře kde to jde. Pomůže Vám to s rychlejší orientací.

Netroufám si říct, že nastavit CAPsMANa je něco úplně jednoduchého, ale zkušený síťař by to měl zvládnou během jednoho, dvou dnů.

Závěr:

Chápu, že CAPsMAN není úplně pro každého. Je to elegantní nástroj, který jistě najde svoji aplikace v malých a středně velkých firmách, kde zaujme svojí pokročilostí za dobrou cenu. Pokud by jste chtěli integrovat CAPsMANa od nás, můžete nám napsal na info@connectica.cz. Cenová realce se pohybuje dle náročností od 1000 kč až po 5000 kč.

Poznámky pod čarou:

  1. Než začnete konfigurovat všechny stroje, upgradněte na nejnovější ROS. Toto se zdá být jako banalita, ale mně to sebralo dva dny přemýšlení, proč CAPsMAN nefunguje. Světe div se, Mikrotik totiž má dvě verze CAPsMANA.
  2. Nepovedlo se mi rozběhnout CAPsMANA bez NATu. Nevím, proč. Je možné, že jsem jen gramlavý (anebo prostě škoda, že den nemá víc jak 24 hodin).
  3. V případě tvorby více SSID nepoužijete funkci VirtualAP, ale použíejte v CAPsMAN konfiguraci