MANUAL: Mikrotik, manejo de APs usando CAPsMAN

Buenas!
Ante todo gracias @pokoyo por el manual, muy útil e informativo.

He intentado aplicar las configuraciones sugeridas más buenas prácticas del MUM, pero por el momento no consigo que funcione correctamente.
Vivo en un domicilio con varias 4 plantas y he puesto un AP (RBwAPG-5HacT2HnD) en cada una de ellas.
El problema que me encuentro es que los dispositivos pierden conectividad (parece que se reasocian a una radio del AP) frecuentemente, lo que hace que sea díficil trabajar desde casa.

CAPSMan lo tengo configurado en un RB4011, usando un CRS326 como switch donde se conectan los APs (ambos con ROS 7).
He separado las redes mediante VLAN y uso una para las conexiones de WiFi (wifi, 101) y tengo configurado un trunk entre RB4011 y CRS326, así como el tag en CAPSMan.
Utilizo una VLAN de gestión (mgmt, 99) para conectar todos los dispositivos de red entre si.

Estoy convencido que hay algo que estoy haciendo mal o no he entendido completamente, así que agradecería si alguien puede indicarme que puedo tener mal en la configuración.

Muchas gracias de antemano!

Configuración capsman:
Código:
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=XX frequency=2412,2437,2462 name=channel_2Ghz reselect-interval=10m tx-power=10
add band=5ghz-n/ac extension-channel=XXXX frequency=5180,5260,5500,5600,5660,5745 name=channel_5Ghz reselect-interval=10m tx-power=20
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=channel_5Ghz_auto reselect-interval=10m
add band=2ghz-g/n control-channel-width=20mhz frequency=2412,2437,2462 name=channel_2Ghz_noextension reselect-interval=10m tx-power=17
/caps-man configuration
add country=spain datapath.local-forwarding=yes .vlan-id=101 .vlan-mode=use-tag distance=indoors installation=indoor multicast-helper=full name=config_home security.authentication-types=wpa2-psk ssid=Home!
/caps-man datapath
add client-to-client-forwarding=yes local-forwarding=yes name=datapath_home vlan-id=101 vlan-mode=use-tag
/caps-man rates
add basic=12Mbps name=rates_2Ghz supported=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
/caps-man security
add authentication-types=wpa2-psk disable-pmkid=yes encryption=aes-ccm group-encryption=aes-ccm group-key-update=1h name=security_wpa2
/caps-man configuration
add channel=channel_2Ghz_noextension country=spain datapath=datapath_home distance=indoors guard-interval=long installation=indoor mode=ap multicast-helper=full name=config_home_2ghz rates=rates_2Ghz security=security_wpa2 ssid=Home!
add channel=channel_5Ghz_auto country=spain datapath=datapath_home distance=indoors guard-interval=long installation=indoor mode=ap multicast-helper=full name=config_home_5ghz security=security_wpa2 ssid=Home!
/caps-man access-list
add action=accept allow-signal-out-of-range=10s disabled=yes interface=all signal-range=-70..120
add action=reject disabled=yes interface=all signal-range=-120..-71
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes upgrade-policy=suggest-same-version
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=mgmt
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=config_home_2ghz name-prefix=2ghz
add action=create-dynamic-enabled hw-supported-modes=an master-configuration=config_home_5ghz name-prefix=5ghz
add action=create-dynamic-enabled disabled=yes master-configuration=config_home
 
Tienes varias cosas mal, te las enumero:
  • Estás usando canales automáticos y tienes cuatro APs. CAPsMAN no es tan listo como para darle un canal a cada uno y no repetirlos.. Define los canales individualmente. En 2,4GHz, sin extensión alguna. El AP superior y el inferor, en el mismo canal en 2,4GHz. Es decir 1, -> 6, -> 11, -> 1
  • Considera usar 40Mhz de ancho de canal en 5GHz, allá donde necesites más estabilidad en lugar de velocidad.
  • Al igual, crea reglas de provisioning por cada MAC, para provisionar la interfaz inalámbrica de 2,4GHz y de 5GHz individualmente en cada AP. 4 APs = 8 reglas de provisioning.
  • Estás usando local forwarding, lo que implica que vas a tener que manejar tráfico a nivel de AP. No te lo recomiendo, deja que todo el tráfico vaya de vuelta al CAPsMAN, tienes equipo más que de sobra para que ni lo notes. Centralizarás el firewall y podrás implementar bridge vlan filtering en el bridge principal del 4011. Al switch, un puerto trunk con ls VLANs que quieras pasar por cable y listo
  • Usa los distintos menús de configuración de CAPsMAN, verás la configuración mucho más sencilla
  • Con la poca potencia que estás manejando en 2,4GHz, debería ser más que suficiente para que el roaming vaya fluído. Quita de momento la regla de acceso, no te vaya a estar jodiendo.
  • DATA RATES: aquí tienes tu principal problema. Si defines los canales como g/n, n/ac, ya estás eliminando los anuncios de datarates por debajo de 6Mbps (como los de "b", que van a 1Mbps). Pero subir ese datarate mínimo a 12Mbps significa que todo chisme que no sea capaz de manejar un beacon anunciando "hola aquí estoy yo" a 12Mbps, se va a desconectar del AP. Elimina de tu config los datarates, no los necesitas para una instalación doméstica, salvo problema grave. En una oficina con decenas de APs, es otro cantar, pero en casa, no lo necesitas.

Te paso una configuración CAPsMAN similar a la tuya, pero con 3 APs en lugar de 4. Adáptala, y ya lo tienes. Esta configuración no funciona bien, funciona como un tiro, y no es porque la haya hecho yo, sino porque me he ido in situ a probarla y requeteprobarla. Con la tuya tienes que hacer algo similar, revisar qué potencia necesitas en cada sitio y bajarla al mínimo que necesites para cubrir la zona que tiene que cubrir el AP. Salvo algún dispositivo perezoso, todo lo demás tiene que hacer roaming a la velocidad del rayo.
Código:
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2462 name=2ghz-ch11-20
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412 name=2ghz-ch01-20
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2437 name=2ghz-ch06-20
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5180 name=5ghz-ch036-80
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5260 name=5ghz-ch052-80
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5500 name=5ghz-ch100-80
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes name=panteras vlan-id=74 \
    vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=no name=leones vlan-id=84 \
    vlan-mode=use-tag
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=panteras
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=leones
/caps-man configuration
add channel=2ghz-ch11-20 channel.tx-power=15 country=spain datapath=panteras \
    installation=indoor mode=ap name=2ghz-panteras-ap0 security=panteras ssid=\
    PANTERAS
add channel=2ghz-ch06-20 channel.tx-power=13 country=spain datapath=panteras \
    installation=indoor mode=ap name=2ghz-panteras-ap1 security=panteras ssid=\
    PANTERAS
add channel=2ghz-ch01-20 channel.tx-power=10 country=spain datapath=panteras \
    installation=indoor mode=ap name=2ghz-panteras-ap2 security=panteras ssid=\
    PANTERAS
add channel=5ghz-ch100-80 country=spain datapath=panteras installation=indoor \
    mode=ap name=5ghz-panteras-ap0 security=panteras ssid=PANTERAS
add channel=5ghz-ch052-80 channel.tx-power=20 country=spain datapath=panteras \
    installation=indoor mode=ap name=5ghz-panteras-ap1 security=panteras ssid=\
    PANTERAS
add channel=5ghz-ch036-80 channel.tx-power=17 country=spain datapath=panteras \
    installation=indoor mode=ap name=5ghz-panteras-ap2 security=panteras ssid=\
    PANTERAS
add country=spain datapath=leones installation=indoor mode=ap name=\
    leones security=leones ssid=LEONES
/caps-man manager
set enabled=yes upgrade-policy=suggest-same-version
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=vlan-panteras
/caps-man provisioning
add action=create-dynamic-enabled comment=\
    "2ghz-planta-baja (panteras + leones)" master-configuration=2ghz-panteras-ap0 \
    name-format=prefix-identity name-prefix=2ghz radio-mac=2C:C8:1B:66:CA:F4 \
    slave-configurations=leones
add action=create-dynamic-enabled comment=2ghz-planta-primera \
    master-configuration=2ghz-panteras-ap1 name-format=prefix-identity \
    name-prefix=2ghz radio-mac=2C:C8:1B:66:D1:EE
add action=create-dynamic-enabled comment=2ghz-planta-segunda \
    master-configuration=2ghz-panteras-ap2 name-format=prefix-identity \
    name-prefix=2ghz radio-mac=2C:C8:1B:66:CA:F8
add action=create-dynamic-enabled comment=\
    "5ghz-planta-baja (panteras + leones)" master-configuration=5ghz-panteras-ap0 \
    name-format=prefix-identity name-prefix=5ghz radio-mac=2C:C8:1B:66:CA:F5 \
    slave-configurations=leones
add action=create-dynamic-enabled comment=5ghz-planta-primera \
    master-configuration=5ghz-panteras-ap1 name-format=prefix-identity \
    name-prefix=5ghz radio-mac=2C:C8:1B:66:D1:EF
add action=create-dynamic-enabled comment=5ghz-planta-segunda \
    master-configuration=5ghz-panteras-ap2 name-format=prefix-identity \
    name-prefix=5ghz radio-mac=2C:C8:1B:66:CA:F9
 
No me queda claro, ¿En el lado del CAP RB951G no debo crear los puertos de las vlan?.
¿Esto es el filtrado del brigde?,
Y por último, activamos el filtrado de vlans a nivel de bridge
Código:
/interface bridge set bridge-vlans vlan-filtering=yes
 
Si no usas local forwarding, el tráfico de los cAP se manda de vuelta al CAPsMAN tunelado, así que la única vlan a definir en los CAP sería la de management, para poder llegar a ellos. Nada más.

En el manager, el CAPsMAN es donde definirías todas las vlans, las direccionarías y filtrarías en el bridge principal.

Saludos!
 
Buenos días,pokoyo: He reseteado el RB951G a fábrica. Tengo configurada una VLAN en el RB401 en la eth3 y conectado el RB951G también en el puerto eth3. Quiero que en el RB951G en el eth5 se vea esa VLAN para conectar un portátil. ¿Qué pasos debe hacer en el RB951G?.
 
Buenos días,pokoyo: He reseteado el RB951G a fábrica. Tengo configurada una VLAN en el RB401 en la eth3 y conectado el RB951G también en el puerto eth3. Quiero que en el RB951G en el eth5 se vea esa VLAN para conectar un portátil. ¿Qué pasos debe hacer en el RB951G?.
Dibújalo mejor, aunque creo que eso no tiene nada que ver con lo que estábamos hablando. Te hablo de mandarle vlans al CAP para la parte inalámbrica, que es la que manejas vía CAPsMAN. Si el local forwarding no está activado, esas vlan irán dentro del túnel que une CAP con CAPsMAN. Pero eso sólo afecta a la parte inalámbrica, no a la parte cableada.

Si tú quieres que la parte cableada también funcione con VLANs (es decir, quieres tener el cAP como un switch gestionable), has de implementar bridge vlan filtering en el router, e igualmente filtrado de vlans a nivel del bridge del CAP (sólo la parte del filtrado, no la declaración de VLANs, que se queda en el router).

Si quieres dibújame lo que tienes y donde quieres llegar y vemos la configuración más en detalle. Eso sí, no te conformes con darme dos pinceladas en un comentario de dos líneas, porque con eso no puedo trabajar. Describe lo que quieres, píntalo y manda exports de los equipos.

Saludos!
 
Hola: Estoy haciendo prueba para comprender mejor como funciona las VLAN. He quitado el CAP en el RB951 y el wifi navega con la ip del VLAN1 sin problemas. Ahora en RB951 añado una VLAN2 a eth4 y conecto un portátil, me da IP de la VLAN2, pero no da salida a internet, no ve la puerta de enlace.
¿Qué hago mal en eth4?
vlanp.jpg
 
En el 4011 las vlans van sobre el bridge, no sobre puertos físicos. Y su distribución se realiza mediante la tabla de filtrado de vlans, que puedes ver en la pestaña "VLANs" del bridge.

Estas dando palos de ciego. Abre un post con tu configuración actual y a dónde quieres llegar y lo vemos. Y, sobre todo, dibuja es esquema de red que quieres montar, se ve mucho mejor así.

Saludos!
 
Tienes varias cosas mal, te las enumero:
  • Estás usando canales automáticos y tienes cuatro APs. CAPsMAN no es tan listo como para darle un canal a cada uno y no repetirlos.. Define los canales individualmente. En 2,4GHz, sin extensión alguna. El AP superior y el inferor, en el mismo canal en 2,4GHz. Es decir 1, -> 6, -> 11, -> 1
  • Considera usar 40Mhz de ancho de canal en 5GHz, allá donde necesites más estabilidad en lugar de velocidad.
  • Al igual, crea reglas de provisioning por cada MAC, para provisionar la interfaz inalámbrica de 2,4GHz y de 5GHz individualmente en cada AP. 4 APs = 8 reglas de provisioning.
  • Estás usando local forwarding, lo que implica que vas a tener que manejar tráfico a nivel de AP. No te lo recomiendo, deja que todo el tráfico vaya de vuelta al CAPsMAN, tienes equipo más que de sobra para que ni lo notes. Centralizarás el firewall y podrás implementar bridge vlan filtering en el bridge principal del 4011. Al switch, un puerto trunk con ls VLANs que quieras pasar por cable y listo
  • Usa los distintos menús de configuración de CAPsMAN, verás la configuración mucho más sencilla
  • Con la poca potencia que estás manejando en 2,4GHz, debería ser más que suficiente para que el roaming vaya fluído. Quita de momento la regla de acceso, no te vaya a estar jodiendo.
  • DATA RATES: aquí tienes tu principal problema. Si defines los canales como g/n, n/ac, ya estás eliminando los anuncios de datarates por debajo de 6Mbps (como los de "b", que van a 1Mbps). Pero subir ese datarate mínimo a 12Mbps significa que todo chisme que no sea capaz de manejar un beacon anunciando "hola aquí estoy yo" a 12Mbps, se va a desconectar del AP. Elimina de tu config los datarates, no los necesitas para una instalación doméstica, salvo problema grave. En una oficina con decenas de APs, es otro cantar, pero en casa, no lo necesitas.

Te paso una configuración CAPsMAN similar a la tuya, pero con 3 APs en lugar de 4. Adáptala, y ya lo tienes. Esta configuración no funciona bien, funciona como un tiro, y no es porque la haya hecho yo, sino porque me he ido in situ a probarla y requeteprobarla. Con la tuya tienes que hacer algo similar, revisar qué potencia necesitas en cada sitio y bajarla al mínimo que necesites para cubrir la zona que tiene que cubrir el AP. Salvo algún dispositivo perezoso, todo lo demás tiene que hacer roaming a la velocidad del rayo.
Código:
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2462 name=2ghz-ch11-20
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412 name=2ghz-ch01-20
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2437 name=2ghz-ch06-20
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5180 name=5ghz-ch036-80
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5260 name=5ghz-ch052-80
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5500 name=5ghz-ch100-80
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes name=panteras vlan-id=74 \
    vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=no name=leones vlan-id=84 \
    vlan-mode=use-tag
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=panteras
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=leones
/caps-man configuration
add channel=2ghz-ch11-20 channel.tx-power=15 country=spain datapath=panteras \
    installation=indoor mode=ap name=2ghz-panteras-ap0 security=panteras ssid=\
    PANTERAS
add channel=2ghz-ch06-20 channel.tx-power=13 country=spain datapath=panteras \
    installation=indoor mode=ap name=2ghz-panteras-ap1 security=panteras ssid=\
    PANTERAS
add channel=2ghz-ch01-20 channel.tx-power=10 country=spain datapath=panteras \
    installation=indoor mode=ap name=2ghz-panteras-ap2 security=panteras ssid=\
    PANTERAS
add channel=5ghz-ch100-80 country=spain datapath=panteras installation=indoor \
    mode=ap name=5ghz-panteras-ap0 security=panteras ssid=PANTERAS
add channel=5ghz-ch052-80 channel.tx-power=20 country=spain datapath=panteras \
    installation=indoor mode=ap name=5ghz-panteras-ap1 security=panteras ssid=\
    PANTERAS
add channel=5ghz-ch036-80 channel.tx-power=17 country=spain datapath=panteras \
    installation=indoor mode=ap name=5ghz-panteras-ap2 security=panteras ssid=\
    PANTERAS
add country=spain datapath=leones installation=indoor mode=ap name=\
    leones security=leones ssid=LEONES
/caps-man manager
set enabled=yes upgrade-policy=suggest-same-version
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=vlan-panteras
/caps-man provisioning
add action=create-dynamic-enabled comment=\
    "2ghz-planta-baja (panteras + leones)" master-configuration=2ghz-panteras-ap0 \
    name-format=prefix-identity name-prefix=2ghz radio-mac=2C:C8:1B:66:CA:F4 \
    slave-configurations=leones
add action=create-dynamic-enabled comment=2ghz-planta-primera \
    master-configuration=2ghz-panteras-ap1 name-format=prefix-identity \
    name-prefix=2ghz radio-mac=2C:C8:1B:66:D1:EE
add action=create-dynamic-enabled comment=2ghz-planta-segunda \
    master-configuration=2ghz-panteras-ap2 name-format=prefix-identity \
    name-prefix=2ghz radio-mac=2C:C8:1B:66:CA:F8
add action=create-dynamic-enabled comment=\
    "5ghz-planta-baja (panteras + leones)" master-configuration=5ghz-panteras-ap0 \
    name-format=prefix-identity name-prefix=5ghz radio-mac=2C:C8:1B:66:CA:F5 \
    slave-configurations=leones
add action=create-dynamic-enabled comment=5ghz-planta-primera \
    master-configuration=5ghz-panteras-ap1 name-format=prefix-identity \
    name-prefix=5ghz radio-mac=2C:C8:1B:66:D1:EF
add action=create-dynamic-enabled comment=5ghz-planta-segunda \
    master-configuration=5ghz-panteras-ap2 name-format=prefix-identity \
    name-prefix=5ghz radio-mac=2C:C8:1B:66:CA:F9
Muchas gracias por tus recomendaciones!
La conectividad ha mejorado de manera considerable y el hand-off entre diferentes APs ahora apenas afecta a los dispositivos.
Tengo que encontrar la potencia adecuada para que no se solapen los APs pero mucho mejor!
 
Muchas gracias por tus recomendaciones!
La conectividad ha mejorado de manera considerable y el hand-off entre diferentes APs ahora apenas afecta a los dispositivos.
Tengo que encontrar la potencia adecuada para que no se solapen los APs pero mucho mejor!
Eso es, ves bajando progresivamente la potencia se los APs, de dBm en dBm, hasta dar con el punto óptimo.

Saludos!
 
Muchas gracias por compartir esta información muy útil.
Me gustaría si me podéis recomendar un punto de acceso MikroTik tanto en 2,4 como en 5Ghz o mixto para dar cobertura a la urbanización desde mi ventana y así disponer de wifi de mi vivienda. Me gustaría que tenga potencia suficiente. Quiero que sea MikroTik para poder utilizar el capsman.
Muchísimas gracias.
 
Muchas gracias por compartir esta información muy útil.
Me gustaría si me podéis recomendar un punto de acceso MikroTik tanto en 2,4 como en 5Ghz o mixto para dar cobertura a la urbanización desde mi ventana y así disponer de wifi de mi vivienda. Me gustaría que tenga potencia suficiente. Quiero que sea MikroTik para poder utilizar el capsman.
Muchísimas gracias.
Yo tengo uno de estos cerca de mi balcón (pero en interior) y tengo cobertura en todo el jardín de mi urbanización (en 2.4, claro):


Es posible instalarlo también en el exterior.
 
Yo tengo uno de estos cerca de mi balcón (pero en interior) y tengo cobertura en todo el jardín de mi urbanización (en 2.4, claro):


Es posible instalarlo también en el exterior.
Ese mismo te vale, un wAP-AC. Están preparados para funcionar en exteriores.

Saludos!
 
Pues tengo ese mismo y no me llega suficiente señal. Si que es cierto que no lo tengo pegado a la ventana.
¿Conocéis algún otro modelo?
Un saludo.
Sácalo fuera. Es un AP de exteriores.

Saludos!
 
Me podéis indicar el punto de acceso que mejor cobertura da de MikroTik ??

muchas gracias!!
No, no puedo. Para eso tendría que haberlos probado todos. Y, aun así, lo que a mi me funcione perfecto a ti puede que te vaya como el culo, dado que el medio de distribución de la señal inalámbrica (aire) es compartido, y depende de lo que tengas alrededor.

Además de eso, Mikrotik tiene una basta gama de chismes, dependiendo del uso que le vayas a dar y dónde lo vayas a poner. No tienen nada que ver un cAP-AC de interiores, con una NetMetal, Omnitik o mANTBox.

Saludos!
 
No, no puedo. Para eso tendría que haberlos probado todos. Y, aun así, lo que a mi me funcione perfecto a ti puede que te vaya como el culo, dado que el medio de distribución de la señal inalámbrica (aire) es compartido, y depende de lo que tengas alrededor.

Además de eso, Mikrotik tiene una basta gama de chismes, dependiendo del uso que le vayas a dar y dónde lo vayas a poner. No tienen nada que ver un cAP-AC de interiores, con una NetMetal, Omnitik o mANTBox.

Saludos!
Y sabrías indicarme diferencias entre las NetMetal, Omnitel o mANTBox. De todas maneras voy a buscar por la red.
Muchas gracias por la información.
 
Y sabrías indicarme diferencias entre las NetMetal, Omnitel o mANTBox. De todas maneras voy a buscar por la red.
Muchas gracias por la información.
Por lo que leo querés tener WiFi en tu casa y hacia afuera? lo primero que miraria es a que distancia del exterior queres llegar, teniendo en cuenta eso, quizá algún equipo unidireccional que apunte hacia ese lado, por otra parte el que va a ir hacia afuera busca que sea 2.4, con la de 5Ghz salvo que sea cerca no vas a llegar
 
Por lo que leo querés tener WiFi en tu casa y hacia afuera? lo primero que miraria es a que distancia del exterior queres llegar, teniendo en cuenta eso, quizá algún equipo unidireccional que apunte hacia ese lado, por otra parte el que va a ir hacia afuera busca que sea 2.4, con la de 5Ghz salvo que sea cerca no vas a llegar
Lo que me gustaría es dar wifi en la parte de la urbanización, no más de 1000 metros.
 
Arriba