MANUAL: Mikrotik, manejo de APs usando CAPsMAN

En ese caso tienes que borrar las reglas de provisioning dinámicas y crear las CAP Intetaces estáticas (puedes editar las que crea dinámicas, darle al botón de “copy” en winbox y coger esas como plantillas).

Las interfaces estáticas sí que podrías deshabilitarlas a placer con un script.

Saludos!
@Abejo, @pokoyo, es interesante esa idea de deshabilitar la red de invitados por la noche o los fines de semana, por ejemplo en la oficina.

Lo acabo de probar y funciona muy bien: no ha sido necesario borrar las reglas de provisioning, simplemente cambiar el campo Action "create dinamic enabled" por "create enabled" y re-provisionar las radios afectadas para que queden en estáticas.

A partir de ahí con:
Código:
/caps-man interface disable [ find name="2ghz-AP-Oficina-1-1" ];
/caps-man interface enable [ find name="2ghz-AP-Oficina-1-1" ];

Ya estaría funcionando.

S@lu2
 
@Abejo, @pokoyo, es interesante esa idea de deshabilitar la red de invitados por la noche o los fines de semana, por ejemplo en la oficina.

Lo acabo de probar y funciona muy bien: no ha sido necesario borrar las reglas de provisioning, simplemente cambiar el campo Action "create dinamic enabled" por "create enabled" y re-provisionar las radios afectadas para que queden en estáticas.

A partir de ahí con:
Código:
/caps-man interface disable [ find name="2ghz-AP-Oficina-1-1" ];
/caps-man interface enable [ find name="2ghz-AP-Oficina-1-1" ];

Ya estaría funcionando.

S@lu2
Correcto, eso es otra forma de hacerlo. Y, ahora que tienes las interfaces creadas y son estáticas, al menos comenta la regla de provisioning, deshabilitándola. Te lo digo porque, si vuelves a provisionar por error, puedes crear un chocho con las interfaces.

Otra manera de hacer lo mismo, pero sin apagar la wifi físicamente, es jugar con los tiempos de uso de una interfaz o usuario concreto en un address list. Ahí se puede definir un horario de uso y decir que tal usuario solo acceda a tal wifi de tal a tal hora tales días a la semana.

Saludos!
 
@Abejo, @pokoyo, es interesante esa idea de deshabilitar la red de invitados por la noche o los fines de semana, por ejemplo en la oficina.

Lo acabo de probar y funciona muy bien: no ha sido necesario borrar las reglas de provisioning, simplemente cambiar el campo Action "create dinamic enabled" por "create enabled" y re-provisionar las radios afectadas para que queden en estáticas.

A partir de ahí con:
Código:
/caps-man interface disable [ find name="2ghz-AP-Oficina-1-1" ];
/caps-man interface enable [ find name="2ghz-AP-Oficina-1-1" ];

Ya estaría funcionando.

S@lu2
Si, tambien lo habia pasado a "create enabled" en mi caso lo puse en la red laboral, mas que nada para deshabilitarla, ya que la activo cuando la tengo que usar y siempre me la olvido activada....
 
Buenas,

Dejo por aqui mi config de CAPsMAN por si alguno de puede dar un poco de luz, porque no acabo de estar contento la verdad.

Estoy solo en el canal, la conexion en principio es correcta con velocidades correctas de RX y TX, pero en cambio, olvidandonos de los test de velocidad de internet, en la propia LAN, copiando ficheros a la NAS solo consigo velocidades de 2-3 MBytes/s (16-24 Mbit/s), no me parecen ni aceptables la verdad.

Se me esta escapando algo?

Adjunto codigo y unos pantallazos por si me ayudais a ver algo de luz:

C:
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412,2437,2462 name=2ghz-auto-20 tx-power=17
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=\
    5ghz-auto-80

/caps-man datapath
add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no \
    name=datapath-guests
add bridge=bridge-lan client-to-client-forwarding=yes local-forwarding=no \
    name=datapath-lan

/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security-profile-guests
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security-profile-lan

/caps-man configuration
add channel=2ghz-auto-20 country=spain datapath=datapath-lan mode=ap name=\
    2ghz-wifi-lan security=security-profile-lan ssid=CASA
add channel=5ghz-auto-80 country=spain datapath=datapath-lan mode=ap name=\
    5ghz-wifi-lan security=security-profile-lan ssid=CASA
add channel=2ghz-auto-20 country=spain datapath=datapath-guests mode=ap name=\
    2ghz-wifi-guests security=security-profile-guests ssid=INVITADOS
add channel=5ghz-auto-80 country=spain datapath=datapath-guests mode=ap name=\
    5ghz-wifi-guests security=security-profile-guests ssid=INVITADOS

/caps-man provisioning
add action=create-dynamic-enabled comment=2ghz-auto-provisioning \
    hw-supported-modes=gn master-configuration=2ghz-wifi-lan name-format=\
    prefix-identity name-prefix=2ghz-auto slave-configurations=\
    2ghz-wifi-guests
add action=create-dynamic-enabled comment=5ghz-auto-provisioning \
    hw-supported-modes=ac master-configuration=5ghz-wifi-lan name-format=\
    prefix-identity name-prefix=5ghz-auto slave-configurations=\
    5ghz-wifi-guests

Gracias por todo
 

Adjuntos

  • Mikro1.png
    Mikro1.png
    15.7 KB · Visitas: 29
  • Mikro2.png
    Mikro2.png
    8 KB · Visitas: 36
  • Grafica.png
    Grafica.png
    71.1 KB · Visitas: 37
Aparentemente está todo bien. El NAS entiendo que va cableado al mismo router, verdad? Has podido probar esa misma transferencia en otro tipo se routers, por si fuera in tema de drivers de la tarjeta inalámbrica?

Saludos!
 
Aparentemente está todo bien. El NAS entiendo que va cableado al mismo router, verdad? Has podido probar esa misma transferencia en otro tipo se routers, por si fuera in tema de drivers de la tarjeta inalámbrica?

Saludos!
Correcto, la NAS esta conectada los cable al router. También tengo el decodificador de Vu+ también por red y copiando los ficheros por FTP mismo síntoma. He probado la copia desde varios dispositivos y mismo síntoma. En cambio, por cable va todo un tiro, una media de 120 Mbytes/s

Por ejemplo, la subida de ficheros a la NAS va algo mejor, llegando a los 12 Mbytes/s, en cambio la descarga 2-3 Mbytes/s

Con el anterior router de Vodafone no tenia estos problemas.
 
Correcto, la NAS esta conectada los cable al router. También tengo el decodificador de Vu+ también por red y copiando los ficheros por FTP mismo síntoma. He probado la copia desde varios dispositivos y mismo síntoma. En cambio, por cable va todo un tiro, una media de 120 Mbytes/s

Por ejemplo, la subida de ficheros a la NAS va algo mejor, llegando a los 12 Mbytes/s, en cambio la descarga 2-3 Mbytes/s

Con el anterior router de Vodafone no tenia estos problemas.
Tenes alguna configuración en el QOS?
 
Dejo por aquí mi setup de capsman, no está aun completo, tengo un rb3011 que usaré de manager y los haplite los pasare a hap ac3 en los próximos días, ahora las pruebas son con 1 hap ac2 que uso de servidor/cliente capsman y los 2 hap lite de caps.

C:
/caps-man channel
add band=2ghz-onlyn control-channel-width=20mhz frequency=2412 name="CANAL1 - 2,4GHz" tx-power=20
add band=5ghz-onlyac frequency=5180 name="FRECUENCIA 5GHz" skip-dfs-channels=yes tx-power=20
/interface bridge
add name=bridge1-CASA
add name=bridge2-INVITADOS
add name=bridge3-DOMOTICA
add name=bridge4-PEQUES
/interface wireless
# managed by CAPsMAN
# channel: 2412/20-Ce/gn(17dBm), SSID: Daniel y Cristian, CAPsMAN forwarding
set [ find default-name=wlan1 ] ssid=MikroTik
# managed by CAPsMAN
# channel: 5180/20-Ceee/ac/P(17dBm), SSID: Daniel y Cristian, CAPsMAN forwarding
set [ find default-name=wlan2 ] ssid=MikroTik
/caps-man datapath
add bridge=bridge1-CASA client-to-client-forwarding=yes local-forwarding=no name=RED-CASA
add bridge=bridge2-INVITADOS client-to-client-forwarding=no local-forwarding=no name=RED-INVITADOS
add bridge=bridge3-DOMOTICA client-to-client-forwarding=no local-forwarding=no name=RED-DOMOTICA
add bridge=bridge4-PEQUES client-to-client-forwarding=no local-forwarding=no name=RED-PEQUES
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=INVITADOS
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=WIFI-CASA
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=DOMOTICA
add authentication-types=wpa2-psk encryption=aes-ccm,tkip name=WIFI-PEQUES
/caps-man configuration
add channel="CANAL1 - 2,4GHz" channel.tx-power=20 country=spain datapath=RED-CASA installation=indoor mode=ap name=RED-CASA security=WIFI-CASA ssid="Daniel y Cristian"
add channel="CANAL1 - 2,4GHz" channel.tx-power=20 country=spain datapath=RED-INVITADOS installation=indoor mode=ap name=INVITADOS security=INVITADOS ssid="WiFi Invitados - DyC"
add channel="CANAL1 - 2,4GHz" channel.tx-power=20 country=spain datapath=RED-DOMOTICA installation=indoor mode=ap name=DOMOTICA security=DOMOTICA ssid="WiFI IoT"
add channel="FRECUENCIA 5GHz" channel.tx-power=20 country=spain datapath=RED-CASA installation=indoor mode=ap name=RED-CASA-5GHz security=WIFI-CASA ssid="Daniel y Cristian"
add channel="CANAL1 - 2,4GHz" channel.tx-power=20 country=spain datapath=RED-PEQUES installation=indoor name=WIFI-PEQUES security=WIFI-PEQUES ssid="WiFi los pitufos"
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.30.2-192.168.30.254
add name=dhcp_pool1 ranges=192.168.32.2-192.168.32.254
add name=dhcp_pool2 ranges=192.168.33.2-192.168.33.254
add name=dhcp_pool3 ranges=192.168.40.2-192.168.40.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge1-CASA name=dhcp1
add address-pool=dhcp_pool1 interface=bridge2-INVITADOS name=dhcp2
add address-pool=dhcp_pool2 interface=bridge3-DOMOTICA name=dhcp3
add address-pool=dhcp_pool3 interface=bridge4-PEQUES name=dhcp4
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=WAN-FTTH profile=default-encryption use-peer-dns=yes user=JjeroGabe2
/queue type
add kind=fq-codel name=TEST
/queue simple
add max-limit=5M/10M name=INVITADOS queue=TEST/TEST target=bridge2-INVITADOS
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes require-peer-certificate=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=RED-CASA name-format=identity radio-mac=XXXXXXXX slave-configurations=INVITADOS,DOMOTICA,WIFI-PEQUES
add action=create-dynamic-enabled master-configuration=RED-CASA name-format=identity radio-mac=XXXXXXXX slave-configurations=INVITADOS,DOMOTICA,WIFI-PEQUES
add action=create-dynamic-enabled master-configuration=RED-CASA-5GHz name-format=identity radio-mac=XXXXXXXX slave-configurations=INVITADOS,WIFI-PEQUES
add action=create-dynamic-enabled master-configuration=RED-CASA name-format=identity radio-mac=XXXXXXXX slave-configurations=INVITADOS,DOMOTICA,WIFI-PEQUES
/interface bridge port
add bridge=bridge1-CASA interface=ether2
add bridge=bridge1-CASA interface=ether3
add bridge=bridge1-CASA interface=ether4
add bridge=bridge1-CASA interface=ether5
/interface wireless cap
#
set caps-man-addresses=127.0.0.1 certificate=CAP-XXXXXXXX enabled=yes interfaces=wlan1,wlan2 lock-to-caps-man=yes
/ip address
add address=192.168.30.1/24 interface=bridge1-CASA network=192.168.30.0
add address=192.168.32.1/24 interface=bridge2-INVITADOS network=192.168.32.0
add address=192.168.33.1/24 interface=bridge3-DOMOTICA network=192.168.33.0
add address=192.168.40.1/24 interface=bridge4-PEQUES network=192.168.40.0
/ip dhcp-server network
add address=192.168.30.0/24 gateway=192.168.30.1
add address=192.168.32.0/24 gateway=192.168.32.1
add address=192.168.33.0/24 gateway=192.168.33.1
add address=192.168.40.0/24 dns-server=94.140.14.15,94.140.15.16 gateway=192.168.40.1
/ip firewall filter
add action=fasttrack-connection chain=forward hw-offload=yes in-interface=bridge1-CASA
add action=add-src-to-address-list address-list=LOGINS_FALLIDOS address-list-timeout=none-dynamic chain=input comment="REGISTRO DE LOGINS FALLIDOS" connection-state=new dst-port=8289 limit=\
    !1/1m,3:packet protocol=tcp
add action=add-src-to-address-list address-list=LOGINS_FALLIDOS_TELEGRAM address-list-timeout=none-dynamic chain=input connection-state=new dst-port=8289 limit=!1/1m,3:packet protocol=tcp
add action=drop chain=forward comment="ACCESO A INTERNET BLOQUEDO POR EXCESO DE LOGINS" src-address-list=LOGINS_FALLIDOS
add action=drop chain=input comment="Drop escaneadores de puertos" src-address-list="SCAN DE PUERTOS"
add action=drop chain=forward comment="Drop escaneadores de puertos" src-address-list="SCAN DE PUERTOS"
add action=add-src-to-address-list address-list="SCAN DE PUERTOS" address-list-timeout=4w2d chain=input comment="------Escaneadores de puertos" protocol=tcp psd=10,3s,3,1
add action=add-src-to-address-list address-list="SCAN DE PUERTOS" address-list-timeout=4w2d chain=input comment="------NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
    fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="SCAN DE PUERTOS" address-list-timeout=4w2d chain=input comment="------SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="SCAN DE PUERTOS" address-list-timeout=4w2d chain=input comment="------SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="SCAN DE PUERTOS" address-list-timeout=4w2d chain=input comment="------FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="SCAN DE PUERTOS" address-list-timeout=4w2d chain=input comment="------ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="SCAN DE PUERTOS" address-list-timeout=4w2d chain=input comment="------NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Drop to Syn flood list" src-address-list="SYN FLOOD"
add action=add-src-to-address-list address-list="SYN FLOOD" address-list-timeout=30m chain=input comment="------AGREGA IP SYN FLOOD A ADDRESS LIST" connection-limit=30,32 protocol=tcp \
    tcp-flags=syn
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=accept chain=output connection-state=established,related
add action=drop chain=output connection-state=invalid
add action=drop chain=input comment="DROPEA TODO MENOS CAPsMAN Y ACCESO DESDE RED MIA" dst-address=!127.0.0.1 in-interface=!bridge1-CASA
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN-FTTH
add action=dst-nat chain=dstnat comment="DNS PROTECCION INFANTIL POR COJINES!" dst-port=53 in-interface=bridge4-PEQUES protocol=udp to-addresses=94.140.14.15 to-ports=53
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
 
He cambiado el extension channel a Ceee y la verdad que ha mejorado algo, unos 12-15 MBytes/s
Antes conectaba en el canal 124. Con la configuracion actual esta en el 48 (donde hay mal SSID de vecinos), con dBm peores pero en cambio va mas rapido.

Aun asi, no me convence del todo, seguire haciendo pruebas para buscar la configuracion correcta para mi entorno, lo que no se que es lo que estoy tocando con el Extension channel, no se cada valor lo que es. Existe algun manual de lo que es cada parametro?
 
He cambiado el extension channel a Ceee y la verdad que ha mejorado algo, unos 12-15 MBytes/s
Antes conectaba en el canal 124. Con la configuracion actual esta en el 48 (donde hay mal SSID de vecinos), con dBm peores pero en cambio va mas rapido.

Aun asi, no me convence del todo, seguire haciendo pruebas para buscar la configuracion correcta para mi entorno, lo que no se que es lo que estoy tocando con el Extension channel, no se cada valor lo que es. Existe algun manual de lo que es cada parametro?
Bájalo a “XX”, que son 40MHz de extensión, de manera automática, y mira a ver si te da mejor resultado. Vas a tener menos ancho de banda, pero diría que podrías llegar a unos 30MB/s de transferencia si te va bien, cerca del router.

Con respecto a los canales, lo tienes en la wiki:
XX = 40MHz auto
XXXX = 80MHz auto
Ceee = 80MHz con el centro del canal en la frecuencia elegida, y tres extensiones de 20MHz por encima.
eeeC = lo mismo, pero extendiendo por abajo.
… etc

Saludos!
 
Lógico, si las interfaces las tienes creadas con una regla se provisioning dinámica. Filtra por otra cosa, no por interfaz. O modifica la interfaz y créala estática, y así no cambia.

Saludos!
Ok, he mirado la opción de crear las interfaces de forma estatica cambiando en el provisioning create dynamic enabled y cambiar a create enabled con lo cual las creo estaticamente y no se vuelves a crear. Me puede servir, pero no veo la forma de filtrar de otra forma teniendo en mismo SSID el 2.4 GHz como el 5 GHz, seguro que se me esta escapando algo.

Despues, tengo una duda, sobre las interfaces generadas dinamicamente, en su dia, tuve que resetear la AP y ahora para la AP me a generado los nombre con un 1 mas por detras, para entendernos:

ANTERIORES
2ghz-auto-AP1
2ghz-auto-AP1-1
5ghz-auto-AP1
5ghz-auto-AP1-1

ACTUALES
2ghz-auto-AP1-1
2ghz-auto-AP1-1-1
5ghz-auto-AP1-1
5ghz-auto-AP1-1-1

No los veo en la actual configuración de las interfaces, pero en algun lado siguen estando porque si intento añadir una interface con el mismo nombre me da el siguiente error: Already have interface with such name. No es mayor molestia, pero si se pudiese solucionar sin realizar ningun reset estaria bien.

Gracias
 
Ok, he mirado la opción de crear las interfaces de forma estatica cambiando en el provisioning create dynamic enabled y cambiar a create enabled con lo cual las creo estaticamente y no se vuelves a crear. Me puede servir, pero no veo la forma de filtrar de otra forma teniendo en mismo SSID el 2.4 GHz como el 5 GHz, seguro que se me esta escapando algo.
Pues simplemente creas la regla de acceso sobre la interfaz concreta, ¿no? ¿Qué tienes que ver que la misma red esté en dos bandas, si vas a filtrar por interfaz?

Por otro lado, una vez creadas las interfaces, renómbralas al nombre que mejor te venga. Y mantén únicamente la lista de aquellas que sean las actuales, todo lo demás lo puedes borrar.

Saludos!
 
Pues simplemente creas la regla de acceso sobre la interfaz concreta, ¿no? ¿Qué tienes que ver que la misma red esté en dos bandas, si vas a filtrar por interfaz?

Por otro lado, una vez creadas las interfaces, renómbralas al nombre que mejor te venga. Y mantén únicamente la lista de aquellas que sean las actuales, todo lo demás lo puedes borrar.

Saludos!
Si, eso lo tengo claro, pero como hablabas de realizar el filtrar por otra cosa que no fuese la interface para restringir el acceso a la banda de 2.4 Ghz a equipos no autorizados expresante, esa otra forma es la que no tengo claro.+
Gracias
 
Buenas, tengo un Hap ac2 en cada planta de la casa, dos en total, y unos 25-30 dispositivos wifi, algunos de ellos los inteligentes... se conectan al Ap de la planta que no corresponde aun teniendo bastante peor señal, he puesto las siguientes reglas en el acces list, como lo veis? Parece que ahora van mejor...

Código:
/caps-man access-list
add action=accept allow-signal-out-of-range=10s disabled=no interface=any signal-range=-78..120 ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=any ssid-regexp=""
 
Última edición:
Buenas, tengo un Hap ac2 en cada planta de la casa, dos en total, y unos 25-30 dispositivos wifi, algunos de ellos los inteligentes... se conectan al Ap de la planta que no corresponde aun teniendo bastante peor señal, he puesto las siguientes reglas en el acces list, como lo veis? Parece que ahora van mejor...

Código:
/caps-man access-list
add action=accept allow-signal-out-of-range=10s disabled=no interface=any signal-range=-78..120 ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=any ssid-regexp=""
Yo las haría así
Código:
/caps-man access-list
add action=accept interface=any signal-range=-80..120 disabled=no
add action=reject interface=any signal-range=-120..-81 disabled=no

E iría bajando poco a poco el -80 (-79, -78, -77, etc) hasta que veas que das con el momento justo donde quieres hacer el salto. Recuerda que, por defecto, la lista tiene un tiempo de guarda de 10s donde permite al cliente estar fuera de rango. Podrías bajarle también ese tiempo. Te pongo un ejemplo usando tus valores para la señal y un tiempo de guarda de 5 segundos:

Código:
/caps-man access-list
add action=accept allow-signal-out-of-range=5s disabled=no interface=any signal-range=-78..120
add action=reject allow-signal-out-of-range=5s disabled=no interface=any signal-range=-120..-79

Saludos!
 
Yo las haría así
Código:
/caps-man access-list
add action=accept interface=all signal-range=-80..120 disabled=no
add action=reject interface=all signal-range=-120..-81 disabled=no

E iría bajando poco a poco el -80 (-79, -78, -77, etc) hasta que veas que das con el momento justo donde quieres hacer el salto. Recuerda que, por defecto, la lista tiene un tiempo de guarda de 10s donde permite al cliente estar fuera de rango. Podrías bajarle también ese tiempo. Te pongo un ejemplo usando tus valores para la señal y un tiempo de guarda de 5 segundos:

Código:
/caps-man access-list
add action=accept allow-signal-out-of-range=5s disabled=no interface=all signal-range=-78..120
add action=reject allow-signal-out-of-range=5s disabled=no interface=all signal-range=-120..-79

Saludos!
Gracias, lo probaré, una cosa, según la wiki de mikrotik, no es mejor usar any que all en las interfaces?? Al menos eso me pareció entender.

Un saludo y buen día!!
 
Gracias, lo probaré, una cosa, según la wiki de mikrotik, no es mejor usar any que all en las interfaces?? Al menos eso me pareció entender.

Un saludo y buen día!!
Sí, casi mejor. Te lo edito en mi comentario.

Saludos!
 
Arriba