Servicio CAPsMAN - Velocidad de internet nula en APs (1mbps..)

harsxhe · 15 Junio 2022

Buenos días compañeros,

Os escribía porque estaba teniendo un problema a la hora de configurar nuestros APs haciendo uso de la herramienta de CAPsMAN de Mikrotik.

Es cierto que he estado revisando muchos posts de compañeros y en distintos foros de la problemática que tenemos pero no veo ninguna lógica a la problemática que tenemos (tema de activar local forwarding para mayor tasas, que los usuarios predominen a usar 5GHz por ejemplo..)

En nuestro caso, tenemos montado un router Mikrotik que actúa como router (donde están definidos todas las reglas y todo básicamente) que es manager a través de CAPsMAN de unos 6 APs de Mikrotik gestionados mediante este servicio.

El problema que parece siempre se ha tenido con este entorno (lo heredamos del compañero anterior que era más manitas con Mikrotik) es que muchas veces las tasas de descarga/subida en muchos puntos es nula, no llegando siquiera a 1mbps... (esto ocurriendo en 2.4 y 5 GHz).

Esta casuística no se debe ni a una mala señal Rx (oscilando entre los -40 y los -70 en los equipos/móviles) ni a una saturación de los canales (en principio, puedo estar erróneo aquí) los cuales están separados en los canales de forma manual.

Es más (para confirmar que no es problema de señal o canales), la red que tenemos para los invitados lo administramos con otros APs y otro servicio (Ruckus) y nunca se ha tenido problemas, por lo que me decanto a que algo estamos haciendo mal con nuestros mikrotiks, lo cual me da mucha pena porque son unas máquinas que podríamos exprimir al máximo su funcionalidad y no lo aprovechamos...

En este caso, los puntos de acceso gestionan dos redes Wifis distintas, una para los equipos portátiles (Polivini Red) y otra para los teléfonos (Polivini Terminal), por lo que la interfaz CAP de la parte de Terminal es un "esclavo" de la principal.

En nuestro caso, los modelos de los routers es la siguiente:

Modelo router principal: RB1100x4
RouterOS 6.47.9
RouterBOARD Firmware 6.47.9

Modelo Access Points: RouterBOARD cAP Gi-5acD2nD, configurados en CAPs Mode
RouterOS 6.47.9
RouterBOARD Firmware 6.47.9

FFTH de 600 mbps simétricos

Realmente no se tiene (ni se pretende) tener una configuración compleja, ya que la autenticación se hace luego a través de un servidor de RADIUS y el acceso de los dispositivos se filtra por MAC por decir lo único complicado que tiene el router (y que no se configura en CAPsMAN salvo el apartado de security claro está)

¿Me podéis indicar o ayudar qué puede estar provocando esto? ¿Creéis que el problema está en CAPsMAN o el problema está en alguna regla de firewall? (no creo, ya que los usuarios que van por cable no tienen ningún problema)

Os adjunto un par de capturas que pueden ayudar un poco (las interfaces CAPs que tenemos donde se ve que "Terminal" cuelga de "Red", y la utilidad de CAPs Scanner para que se muestren los valores de intensidad con los otros APs por si se "molestan" entre ellos)

También dejo la exportación de la configuración referente a CAPsMAN al final del post, para no saturar.

Cualquier cosa de mostrar más información o pruebas estoy a vuestra disposición, ya que tampoco me considero un experto ni mucho menos

Código:

/caps-man channel
add band=2ghz-g/n extension-channel=Ce frequency=2412 name=\
    "Canal 1 - 2412 Mhz " tx-power=18
add band=2ghz-g/n extension-channel=Ce frequency=2437 name=\
    "Canal 6 - 2437 Mhz " tx-power=18
add band=2ghz-g/n extension-channel=Ce frequency=2452 name=\
    "Canal 9 - 2452 Mhz " tx-power=18
add band=5ghz-a/n/ac extension-channel=Ce frequency=5180 name=\
    "Canal 36 - 5180 Mhz " tx-power=23
add band=5ghz-a/n/ac extension-channel=Ce frequency=5220 name=\
    "Canal 44 - 5220 Mhz " tx-power=23
add band=5ghz-a/n/ac extension-channel=Ce frequency=5260 name=\
    "Canal 52 - 5260 Mhz " tx-power=23
add band=5ghz-a/n/ac extension-channel=Ce frequency=5540 name=\
    "Canal 108 - 5540 Mhz " tx-power=23
add band=5ghz-a/n/ac extension-channel=Ce frequency=5500 name=\
    "Canal 100 - 5500 Mhz " tx-power=23
add band=5ghz-a/n/ac extension-channel=Ce frequency=5300 name=\
    "Canal 60 - 5300 Mhz " tx-power=23


/caps-man datapath
add bridge=Wifi_red comment=\
    "Vinculo entre los AP y Router de cabecera para Polivini Red" l2mtu=1600 \
    name=Bridge-AP-PoliviniRed
add bridge=Wifi_term comment=\
    "Vinculo entre los AP y Router de cabecera para Polivini Terminal" l2mtu=\
    1600 name=Bridge-AP-PoliviniTerminal
    
/caps-man security
add authentication-types=wpa2-eap eap-methods=passthrough \
    eap-radius-accounting=yes encryption=aes-ccm group-encryption=aes-ccm \
    name=Polivini tls-certificate=none tls-mode=no-certificates
add authentication-types=wpa2-eap eap-methods=passthrough \
    eap-radius-accounting=yes encryption=aes-ccm group-encryption=aes-ccm \
    name=Terminal
    
/caps-man configuration
add channel="Canal 1 - 2412 Mhz " country=spain datapath.bridge=Wifi_red \
    distance=indoors mode=ap name="Polivini Red 2412" rates.vht-basic-mcs=\
    mcs0-7 rates.vht-supported-mcs=mcs0-7 security=Polivini ssid="Polivini Red"
add channel="Canal 6 - 2437 Mhz " country=spain datapath.bridge=Wifi_red \
    distance=indoors mode=ap name="Polivini Red 2437" rates.vht-basic-mcs=\
    mcs0-7 rates.vht-supported-mcs=mcs0-7 security=Polivini ssid="Polivini Red"
add channel="Canal 9 - 2452 Mhz " country=spain datapath.bridge=Wifi_red \
    distance=indoors mode=ap name="Polivini Red 2452" rates.vht-basic-mcs=\
    mcs0-7 rates.vht-supported-mcs=mcs0-7 security=Polivini ssid="Polivini Red"
add country=spain datapath=Bridge-AP-PoliviniTerminal distance=indoors mode=ap \
    name="Polivini Terminal" security=Terminal ssid="Polivini Terminal"
add channel="Canal 36 - 5180 Mhz " country=spain datapath.bridge=Wifi_red \
    distance=indoors mode=ap name="Polivini Red 5180" rates.vht-basic-mcs=\
    mcs0-7 rates.vht-supported-mcs=mcs0-7 security=Polivini ssid="Polivini Red"
add channel="Canal 44 - 5220 Mhz " country=spain datapath.bridge=Wifi_red \
    distance=indoors mode=ap name="Polivini Red 5220" rates.vht-basic-mcs=\
    mcs0-7 rates.vht-supported-mcs=mcs0-7 security=Polivini ssid="Polivini Red"
add channel="Canal 100 - 5500 Mhz " country=spain datapath.bridge=Wifi_red \
    distance=indoors mode=ap name="Polivini Red 5500" rates.vht-basic-mcs=\
    mcs0-7 rates.vht-supported-mcs=mcs0-7 security=Polivini ssid="Polivini Red"
add channel="Canal 108 - 5540 Mhz " country=spain datapath.bridge=Wifi_red \
    distance=indoors mode=ap name="Polivini Red 5540" rates.vht-basic-mcs=\
    mcs0-7 rates.vht-supported-mcs=mcs0-7 security=Polivini ssid="Polivini Red"
add channel="Canal 52 - 5260 Mhz " country=spain datapath.bridge=Wifi_red \
    distance=indoors mode=ap name="Polivini Red 5260" rates.vht-basic-mcs=\
    mcs0-7 rates.vht-supported-mcs=mcs0-7 security=Polivini ssid="Polivini Red"
add channel="Canal 60 - 5300 Mhz " country=spain datapath.bridge=Wifi_red \
    distance=indoors mode=ap name="Polivini Red 5300" rates.vht-basic-mcs=\
    mcs0-7 rates.vht-supported-mcs=mcs0-7 security=Polivini ssid="Polivini Red"
    
/caps-man interface
add channel="Canal 1 - 2412 Mhz " channel.tx-power=18 comment=\
    "Planta 0 - General - 2.4GHz" configuration="Polivini Red 2412" disabled=no \
    l2mtu=1600 mac-address=CC:2D:E0:9A:D1:AD master-interface=none name=\
    "AP 1 - 2.4G - Polivini Red" radio-mac=CC:2D:E0:9A:D1:AD radio-name=\
    CC2DE09AD1AD security=Polivini security.eap-methods=passthrough \
    security.group-key-update=1h
add configuration="Polivini Terminal" disabled=no l2mtu=1600 mac-address=\
    CE:2D:E0:9A:D1:AF master-interface="AP 1 - 2.4G - Polivini Red" name=\
    "AP 1 - 2.4G - Polivini Terminal" radio-mac=00:00:00:00:00:00 radio-name="" \
    security=Terminal security.eap-methods=passthrough
add channel="Canal 36 - 5180 Mhz " channel.tx-power=18 comment=\
    "Planta 0 - General - 5GHz" configuration="Polivini Red 5180" disabled=no \
    l2mtu=1600 mac-address=CC:2D:E0:9A:D1:AE master-interface=none name=\
    "AP 1 - 5G - Polivini Red" radio-mac=CC:2D:E0:9A:D1:AE radio-name=\
    CC2DE09AD1AE rates.basic="" security=Polivini security.eap-methods=\
    passthrough
add configuration="Polivini Terminal" disabled=no l2mtu=1600 mac-address=\
    CE:2D:E0:9A:D1:AF master-interface="AP 1 - 5G - Polivini Red" name=\
    "AP 1 - 5G - Polivini Terminal" radio-mac=00:00:00:00:00:00 radio-name="" \
    security=Terminal
add channel="Canal 9 - 2452 Mhz " channel.frequency=2452 channel.tx-power=15 \
    comment="Planta 1 - Despacho - 2.4GHz" configuration=\
    "Polivini Red 2412" disabled=no l2mtu=1600 mac-address=2C:C8:1B:9A:72:38 \
    master-interface=none name="AP 2 - 2.4G - Polivini Red" radio-mac=\
    2C:C8:1B:9A:72:38 radio-name=2CC81B9A7238 security=Polivini \
    security.eap-methods=passthrough
add configuration="Polivini Terminal" disabled=no l2mtu=1600 mac-address=\
    CE:2D:E0:95:BB:2E master-interface="AP 2 - 2.4G - Polivini Red" name=\
    "AP 2 - 2.4G - Polivini Terminal" radio-mac=00:00:00:00:00:00 radio-name="" \
    security=Terminal security.eap-methods=passthrough
add channel="Canal 52 - 5260 Mhz " channel.frequency=5260 channel.tx-power=15 \
    comment="Planta 1 - Despacho - 5GHz" configuration=\
    "Polivini Red 5180" disabled=no l2mtu=1600 mac-address=2C:C8:1B:9A:72:39 \
    master-interface=none name="AP 2 - 5G - Polivini Red" radio-mac=\
    2C:C8:1B:9A:72:39 radio-name=2CC81B9A7239 security=Polivini \
    security.eap-methods=passthrough
add configuration="Polivini Terminal" disabled=no l2mtu=1600 mac-address=\
    CE:2D:E0:95:BB:2F master-interface="AP 2 - 5G - Polivini Red" name=\
    "AP 2 - 5G - Polivini Terminal" radio-mac=00:00:00:00:00:00 radio-name="" \
    rates.basic="" rates.supported="" security=Terminal security.eap-methods=\
    passthrough
add channel="Canal 6 - 2437 Mhz " channel.tx-power=21 comment=\
    "Planta 1 - General - 2.4GHz" configuration="Polivini Red 2437" disabled=no \
    l2mtu=1600 mac-address=CC:2D:E0:95:BA:28 master-interface=none name=\
    "AP 3 - 2.4G - Polivini Red" radio-mac=CC:2D:E0:95:BA:28 radio-name=\
    CC2DE095BA28 security=Polivini security.eap-methods=passthrough \
    security.group-key-update=1h
add configuration="Polivini Terminal" disabled=no l2mtu=1600 mac-address=\
    CE:2D:E0:95:BA:28 master-interface="AP 3 - 2.4G - Polivini Red" name=\
    "AP 3 - 2.4G - Polivini Terminal" radio-mac=00:00:00:00:00:00 radio-name="" \
    security=Terminal
add channel="Canal 44 - 5220 Mhz " channel.tx-power=21 comment=\
    "Planta 1 - General - 5GHz" configuration="Polivini Red 5220" disabled=no \
    l2mtu=1600 mac-address=CC:2D:E0:95:BA:29 master-interface=none name=\
    "AP 3 - 5G - Polivini Red" radio-mac=CC:2D:E0:95:BA:29 radio-name=\
    CC2DE095BA29 security=Polivini security.eap-methods=passthrough
add configuration="Polivini Terminal" disabled=no l2mtu=1600 mac-address=\
    CE:2D:E0:95:BA:2A master-interface="AP 3 - 5G - Polivini Red" name=\
    "AP 3 - 5G - Polivini Terminal" radio-mac=00:00:00:00:00:00 radio-name="" \
    rates.basic="" security=Terminal
add channel="Canal 6 - 2437 Mhz " channel.frequency=2437 channel.tx-power=21 \
    comment="Planta 0 - zona interna - 2.4GHz" configuration="Polivini Red 2437" \
    disabled=no l2mtu=1600 mac-address=2C:C8:1B:97:BE:8E master-interface=\
    none name="AP 4 - 2.4G - Polivini Red" radio-mac=2C:C8:1B:97:BE:8E \
    radio-name=2CC81B97BE8E security=Polivini security.eap-methods=passthrough
add configuration="Polivini Terminal" disabled=no l2mtu=1600 mac-address=\
    CE:2D:E0:95:BF:6D master-interface="AP 4 - 2.4G - Polivini Red" name=\
    "AP 4 - 2.4G - Polivini Terminal" radio-mac=00:00:00:00:00:00 radio-name="" \
    security=Terminal security.eap-methods=passthrough
add channel="Canal 44 - 5220 Mhz " channel.frequency=5220 channel.tx-power=21 \
    comment="Planta 0 - zona interna - 5Ghz" configuration="Polivini Red 5220" \
    disabled=no l2mtu=1600 mac-address=2C:C8:1B:97:BE:8F master-interface=\
    none name="AP 4 - 5G - Polivini Red" radio-mac=2C:C8:1B:97:BE:8F \
    radio-name=2CC81B97BE8F security=Polivini security.eap-methods=passthrough
add configuration="Polivini Terminal" disabled=no l2mtu=1600 mac-address=\
    CE:2D:E0:95:BF:6F master-interface="AP 4 - 5G - Polivini Red" name=\
    "AP 4 - 5G - Polivini Terminal" radio-mac=00:00:00:00:00:00 radio-name="" \
    rates.basic="" security=Terminal security.eap-methods=passthrough
add channel="Canal 1 - 2412 Mhz " channel.frequency=2412 comment=\
    "Almacen - 2.4GHz" configuration="Polivini Red 2412" disabled=no l2mtu=1600 \
    mac-address=CC:2D:E0:95:BC:92 master-interface=none name=\
    "AP 5 - 2.4G - Polivini Red" radio-mac=CC:2D:E0:95:BC:92 radio-name=\
    CC2DE095BC92 security=Polivini security.eap-methods=passthrough \
    security.group-key-update=1h
add configuration="Polivini Terminal" disabled=no l2mtu=1600 mac-address=\
    CE:2D:E0:95:BF:70 master-interface="AP 5 - 2.4G - Polivini Red" name=\
    "AP 5 - 2.4G - Polivini Terminal" radio-mac=00:00:00:00:00:00 radio-name="" \
    security=Terminal security.eap-methods=passthrough
add channel="Canal 36 - 5180 Mhz " channel.frequency=5180 comment=\
    "Almac\E9n - 5GHz" configuration="Polivini Red 5180" disabled=no l2mtu=1600 \
    mac-address=CC:2D:E0:95:BC:93 master-interface=none name=\
    "AP 5 - 5G - Polivini Red" radio-mac=CC:2D:E0:95:BC:93 radio-name=\
    CC2DE095BC93 security=Polivini security.eap-methods=passthrough
add configuration="Polivini Terminal" disabled=no l2mtu=1600 mac-address=\
    CE:2D:E0:95:BC:93 master-interface="AP 5 - 5G - Polivini Red" name=\
    "AP 5 - 5G - Polivini Terminal" radio-mac=00:00:00:00:00:00 radio-name="" \
    rates.basic="" security=Terminal security.eap-methods=passthrough
add channel="Canal 1 - 2412 Mhz " channel.frequency=2412 channel.tx-power=9 \
    comment="Planta 1 - Sala de Juntas - 2.4G - Polivini Red" configuration=\
    "Polivini Red 2412" disabled=no l2mtu=1600 mac-address=CC:2D:E0:95:BB:2E \
    master-interface=none name="AP 6 - 2.4G - Polivini Red" radio-mac=\
    CC:2D:E0:95:BB:2E radio-name=CC2DE095BB2E security=Polivini \
    security.eap-methods=passthrough security.group-key-update=1h
add configuration="Polivini Terminal" disabled=no l2mtu=1600 mac-address=\
    CE:2D:E0:9A:D2:AF master-interface="AP 6 - 2.4G - Polivini Red" name=\
    "AP 6 - 2.4G - Polivini Terminal" radio-mac=00:00:00:00:00:00 radio-name="" \
    security=Terminal security.eap-methods=passthrough
add channel="Canal 36 - 5180 Mhz " channel.frequency=5180 channel.tx-power=9 \
    comment="Planta 1 - Sala de Juntas - 5G - Polivini Red" configuration=\
    "Polivini Red 5180" disabled=no l2mtu=1600 mac-address=CC:2D:E0:95:BB:2F \
    master-interface=none name="AP 6 - 5G - Polivini Red" radio-mac=\
    CC:2D:E0:95:BB:2F radio-name=CC2DE095BB2F security.eap-methods=\
    passthrough
add configuration="Polivini Terminal" disabled=no l2mtu=1600 mac-address=\
    CE:2D:E0:9A:D2:AF master-interface="AP 6 - 5G - Polivini Red" name=\
    "AP 6 - 5G - Polivini Terminal" radio-mac=00:00:00:00:00:00 radio-name="" \
    security=Terminal security.eap-methods=passthrough


/caps-man access-list
add action=accept allow-signal-out-of-range=10s client-to-client-forwarding=\
    no comment="Red - Portatil 1" disabled=no mac-address=\
    XX:XX:XX:XX:XX:XX ssid-regexp=""
add action=reject allow-signal-out-of-range=10s comment=\
    "Desconectar dispositivos Polivini Red tras 10 segundos fuera del alcance" \
    disabled=no interface="AP 1 - 5G - Polivini Red" ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=\
    "AP 2 - 5G - Polivini Red" ssid-regexp=""
add action=reject disabled=no interface="AP 3 - 5G - Polivini Red" ssid-regexp=\
    ""
add action=reject allow-signal-out-of-range=10s disabled=no interface=\
    "AP 4 - 5G - Polivini Red" ssid-regexp=""
add action=reject disabled=no interface="AP 5 - 5G - Polivini Red" ssid-regexp=\
    ""
add action=reject allow-signal-out-of-range=10s disabled=no interface=\
    "AP 1 - 2.4G - Polivini Red" ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=\
    "AP 2 - 2.4G - Polivini Red" ssid-regexp=""
add action=reject disabled=no interface="AP 3 - 2.4G - Polivini Red" \
    ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=\
    "AP 4 - 2.4G - Polivini Red" ssid-regexp=""
add action=reject disabled=no interface="AP 5 - 2.4G - Polivini Red" \
    ssid-regexp=""
add action=accept allow-signal-out-of-range=10s client-to-client-forwarding=\
    no comment=\
    "Terminal - Movil 1" \
    disabled=no mac-address=F8:87:F1:83:28:38 ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=\
    "AP 2 - 5G - Polivini Terminal" ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=\
    "AP 3 - 5G - Polivini Terminal" ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=\
    "AP 4 - 5G - Polivini Terminal" ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=\
    "AP 5 - 5G - Polivini Terminal" ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=\
    "AP 1 - 2.4G - Polivini Terminal" ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=\
    "AP 2 - 2.4G - Polivini Terminal" ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=\
    "AP 3 - 2.4G - Polivini Terminal" ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=\
    "AP 4 - 2.4G - Polivini Terminal" ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=\
    "AP 5 - 2.4G - Polivini Terminal" ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=any \
    radius-accounting=no ssid-regexp=""


/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes

pokoyo · 15 Junio 2022

Jejeje, cómo me gustan estos posts. Venga, vamos a ver qué tenemos:

harsxhe dijo:
Es cierto que he estado revisando muchos posts de compañeros y en distintos foros de la problemática que tenemos pero no veo ninguna lógica a la problemática que tenemos (tema de activar local forwarding para mayor tasas, que los usuarios predominen a usar 5GHz por ejemplo..)

Vamos a usar forwaring al router. No te interesa el local forwarding para nada, puesto que implica que tus APs se comporten como routers independientes, en lugar de meros CAPs. Además, tienes un router más que suficiente para mover lo que tienes.

harsxhe dijo:
En nuestro caso, tenemos montado un router Mikrotik que actúa como router (donde están definidos todas las reglas y todo básicamente) que es manager a través de CAPsMAN de unos 6 APs de Mikrotik gestionados mediante este servicio.

Perfecto, tiene buena pinta. Entiendo que todos los CAP únicamente son APs puestos en modo CAP con System -> Reset configuration -> CAPS mode, ¿verdad?

harsxhe dijo:
El problema que parece siempre se ha tenido con este entorno (lo heredamos del compañero anterior que era más manitas con Mikrotik) es que muchas veces las tasas de descarga/subida en muchos puntos es nula, no llegando siquiera a 1mbps... (esto ocurriendo en 2.4 y 5 GHz).

Esta casuística no se debe ni a una mala señal Rx (oscilando entre los -40 y los -70 en los equipos/móviles) ni a una saturación de los canales (en principio, puedo estar erróneo aquí) los cuales están separados en los canales de forma manual.

¿Es un problema esporádico o te pasa de contínuo? Podría darse por un exceso de señal, que haga que los dispositivos se agarren cual lapas a un AP al que se han conectado inicialmente, y no hagan roaming a otro AP más cercano cuando te muevas. Por señal, desde luego no es, si manejas esas potencias de señal. Cuando te pase esto, ve a la pestaña registration y fíate a qué AP está conectado ese dispositivo y si es al que esperarías que estuviera conectado, dada su situación espacial.

harsxhe dijo:
Es más (para confirmar que no es problema de señal o canales), la red que tenemos para los invitados lo administramos con otros APs y otro servicio (Ruckus) y nunca se ha tenido problemas, por lo que me decanto a que algo estamos haciendo mal con nuestros mikrotiks, lo cual me da mucha pena porque son unas máquinas que podríamos exprimir al máximo su funcionalidad y no lo aprovechamos...

Ojo con esto. Tienes 6 APs con una cobertura muy burra (son los nuevos cAP XL con un deflector más grande) y de entrada ya tienes un problema con los canales en 2,4GHz (usas el canal 9 que no deberías usar). Los APs los tienes bajados un pelín la potencia, pero sospecho que, viendo los resultados de potencia de señal que reportas, los podrías bajar más. Tienes 6x APs, lo que significa que con tres canales que no solapen (1, 6, 11) vas a tener que repetir al menos una vez cada canal. Si a eso le sumas "otros APs" con la wifi de invitados, acabamos teniendo un conflicto de señales inalámbricas con casi total seguridad. Si hace falta montar una wifi de invitados, se monta igualmente en estos APs (a menos que me digas que están en localizaciones totalmente distintas). Esa red se aísla y únicamente se comunica con internet y listo. Ojo con esto que puede ser una fuente de dolores de cabeza grande, y una de las causas de tu problema.

harsxhe dijo:
En este caso, los puntos de acceso gestionan dos redes Wifis distintas, una para los equipos portátiles (Polivini Red) y otra para los teléfonos (Polivini Terminal), por lo que la interfaz CAP de la parte de Terminal es un "esclavo" de la principal.

Es la forma de hacerlo. Y podrías tener varios esclavos para cada interfaz maestra. Por ejemplo, la wifi de invitados, sería una configuración esclava adicional.

Cosas que saco de tu export:

- Seguridad: EAP + RADIUS, sin problema.
- Canales: no uses el canal 9, muévelo al 11 (frecuencia 2462). También puedes cambiar la banda de los APs de 5GHz de 5ghz-a/n/ac -> 5ghz-n/ac (no creo que tengas nada en a). Necesito un plano de situación de cómo están dispersos los APs, es más que probable que tengamos que bajarles la potencia, especialmente en 2,4GHz. La potencia mejor bajarla por cada AP, en su configuración (por si te interesa bajar unos sí y otros no) que a nivel de canal, que afecta a todos por igual (esto como mejor lo veas, yo prefiero hacerlo por AP, es más flexible).
- datapath: echo de menos el client-to-client-forwarding=no/yes y me sobra la definición del l2mtu=1600
- configuration: si ya tienes canal, seguridad y datapath definido, no tiene ningún sentido que los vuelvas a definir en la configuración, simplemente hay que referenciarlos. Del mismo modo, yo no jugaría con la modulación del los APs (vht-supported-mcs), y lo dejaría en automático, que de todo lo que tenga de sí en 5GHz.
- interface: a menos que necesitéis apagar los APs bajo demanda (que te diga el jefe todos los días "oye, apágame los de la segunda planta") yo no me complicaría la vida definiendo interfaces de manera estática. Metería un par de reglas de provisioning automáticas por cada AP y que se generen solas las interfaces.
- access list: no entiendo nada de lo que ahí se pretende hacer.

Otra cosa que me llama la atención es que tengáis aún los equipos en la v6. Quizá no sea el mejor momento para hacerlo, pero pensaros en migrar a la v7 más temprano que tarde (esto lo podemos ver en otro post por separado). Con respecto al router, me gustaría saber si tiene cualquier otro tipo de configuración, tipo colas, que puedan estar causando ese problema de velocidad. Si ves que la config es sensible, pásamela por privado completa, si no la quieres publicar aquí.

Lo que propongo: rehacer la config de caps-man para trabajar con algo mucho más sencillo. No sé exactamente de dónde viene tu problema, pero esa configuración es muy mejorable. Y, de paso, enseñarte a usarlo, para que no dependas de nadie más que de tus propios conocimientos para manejar esos 6 APs, o los que sea que pongáis a funcionar. Como recomendación, migraría también la config de la wifi de invitados aquí, por evitar problemas de interferencias con los otros APs.

En cuanto me des el visto bueno, nos metemos al lío.

Saludos!

harsxhe · 15 Junio 2022

Jejeje, cómo me gustan estos posts. Venga, vamos a ver qué tenemos:

Jajaja, me alegro que alguien disfrute con esto entonces

Vamos a usar forwaring al router. No te interesa el local forwarding para nada, puesto que implica que tus APs se comporten como routers independientes, en lugar de meros CAPs. Además, tienes un router más que suficiente para mover lo que tienes.

Exacto, esa solución de "local forwarding" la suelen recomendar cuando se tienen estos problemas de velocidad (por lo menos lo que he estado leyendo mientras sufría), sin embargo esta opción "obliga" a que cada AP esté configurado individualmente, cosa que no nos interesa.

Perfecto, tiene buena pinta. Entiendo que todos los CAP únicamente son APs puestos en modo CAP con System -> Reset configuration -> CAPS mode, ¿verdad?

Correcto, cada APs está configurado en CAPS mode, y pillan la configuración a través del bridge y la VLAN que tenemos configurado para este caso en concreto.

¿Es un problema esporádico o te pasa de contínuo? Podría darse por un exceso de señal, que haga que los dispositivos se agarren cual lapas a un AP al que se han conectado inicialmente, y no hagan roaming a otro AP más cercano cuando te muevas. Por señal, desde luego no es, si manejas esas potencias de señal. Cuando te pase esto, ve a la pestaña registration y fíate a qué AP está conectado ese dispositivo y si es al que esperarías que estuviera conectado, dada su situación espacial.

Te diría que pasa de continuo, aunque hay "zonas" o ubicaciones dentro de la oficina donde esta problemática no ocurre tan a menudo.

Tema de roaming es cierto que a veces se quedan pegados que da gusto al primer APs que pillan, pero he estado monitorizando a través de la pestaña "Registration" a que APs se estaban conectando y con qué intensidad y esto ocurría tanto estando en un AP lejano (más normal), como teniendo el AP que le corresponde a nivel ubicación (por decir algo, señales de -42 con respecto al Rx)

Ojo con esto. Tienes 6 APs con una cobertura muy burra (son los nuevos cAP XL con un deflector más grande) y de entrada ya tienes un problema con los canales en 2,4GHz (usas el canal 9 que no deberías usar). Los APs los tienes bajados un pelín la potencia, pero sospecho que, viendo los resultados de potencia de señal que reportas, los podrías bajar más. Tienes 6x APs, lo que significa que con tres canales que no solapen (1, 6, 11) vas a tener que repetir al menos una vez cada canal. Si a eso le sumas "otros APs" con la wifi de invitados, acabamos teniendo un conflicto de señales inalámbricas con casi total seguridad. Si hace falta montar una wifi de invitados, se monta igualmente en estos APs (a menos que me digas que están en localizaciones totalmente distintas). Esa red se aísla y únicamente se comunica con internet y listo. Ojo con esto que puede ser una fuente de dolores de cabeza grande, y una de las causas de tu problema.

Exacto, digamos que son 5 APs, ya que el AP 5 está ubicado bastante lejos de la oficina y no habría conflicto ninguno.

Entiendo entonces, que para el 2.4GHz debería gestionar mejor el tema de los canales, siendo 5 los APs que están "juntos", va a ser inevitable que algunos canales coincidan entre sí como comentas.

El tema de la red de invitados (para poder entenderlo), directamente es una instalación de FFTH independiente del escenario que comento, con su propio Mikrotik (sus propias reglas, configuraciones, hotspot...) y que luego se gestionan desde los ruckus pero que están ubicados en la misma oficina en la que estamos, por lo que, efectivamente puede agravar todavía más el problema de los canales ya que se ven entre si y se causan ruido entre ellos.

Es la forma de hacerlo. Y podrías tener varios esclavos para cada interfaz maestra. Por ejemplo, la wifi de invitados, sería una configuración esclava adicional.

Exacto, eso sería el caso ideal el de tener la wifi de invitados como un "esclavo" del master; lo que ahora mismo no se tendría la capacidad de gestionarlo (ya que antes habría que migrar todo lo que hay en el mikrotik "invitados" por así decir).

Cosas que saco de tu export:

- Seguridad: EAP + RADIUS, sin problema.

- Canales: no uses el canal 9, muévelo al 11 (frecuencia 2462). También puedes cambiar la banda de los APs de 5GHz de 5ghz-a/n/ac -> 5ghz-n/ac (no creo que tengas nada en a). Necesito un plano de situación de cómo están dispersos los APs, es más que probable que tengamos que bajarles la potencia, especialmente en 2,4GHz. La potencia mejor bajarla por cada AP, en su configuración (por si te interesa bajar unos sí y otros no) que a nivel de canal, que afecta a todos por igual (esto como mejor lo veas, yo prefiero hacerlo por AP, es más flexible).

Vale, entiendo todo entonces. Con respecto a los planos los adjunto, pero te puedo indicar que:

- El AP1 y 3 están en una posición similar, pero con una planta de diferencia
- El AP2 y 4 exactamente igual, posición similar pero con una planta de diferencia.
- El AP 5 está fuera de la ecuación por lo que comenté al estar muy alejados de los demás.
- El AP6 realmente se quiere dar solo para un despacho en concreto y nada más (por lo que puede estar mucho menos potente en teoría)

- datapath: echo de menos el client-to-client-forwarding=no/yes y me sobra la definición del l2mtu=1600

El parámetro de client-to-client-forwarding no lo tengo definido, pero diría por lo que habilita esto (que los dispositivos se vean dentro de un mismo cliente), lo marcaríamos en no, ¿correcto?

Con respecto al mtu cierto, sobra bastante ya que no tiene que haber dependencias con ese parámetro de transmisión.

- configuration: si ya tienes canal, seguridad y datapath definido, no tiene ningún sentido que los vuelvas a definir en la configuración, simplemente hay que referenciarlos. Del mismo modo, yo no jugaría con la modulación del los APs (vht-supported-mcs), y lo dejaría en automático, que de todo lo que tenga de sí en 5GHz.

Sin problemas, es cierto que si ya están definidos en sus propias pestañas, no tiene sentido volver a configurarlos manualmente y lo ideal sería referenciarlos. Lo de la modulación perfecto, fueron pruebas mías que no han ayudado ni empeorado por suerte.

- interface: a menos que necesitéis apagar los APs bajo demanda (que te diga el jefe todos los días "oye, apágame los de la segunda planta") yo no me complicaría la vida definiendo interfaces de manera estática. Metería un par de reglas de provisioning automáticas por cada AP y que se generen solas las interfaces.

Entiendo que a través de provisioning las interfaces se crean solas, simplemente es definir qué condiciones ha de cumplir el APs para que se le aplique la configuración que queramos. No he trasteado con ello, pero le voy echando un vistazo, ya que esa necesidad de gestionarlos bajo demanda no existe realmente.

- access list: no entiendo nada de lo que ahí se pretende hacer.

jajajaja, básicamente se restringen los dispositivos mediante un filtrado MAC, y se permite que los dispositivos "momentáneamente" tengan una señal floja con su AP antes de ser desconectados según el AP al que estén conectados (allow signal out of range).

No sé si realmente ayuda o empeora este parámetro para el roaming (ya que 10 segundos tal vez es mucho tiempo o no es el parámetro adecuado para "forzar" un roaming)

Otra cosa que me llama la atención es que tengáis aún los equipos en la v6. Quizá no sea el mejor momento para hacerlo, pero pensaros en migrar a la v7 más temprano que tarde (esto lo podemos ver en otro post por separado). Con respecto al router, me gustaría saber si tiene cualquier otro tipo de configuración, tipo colas, que puedan estar causando ese problema de velocidad. Si ves que la config es sensible, pásamela por privado completa, si no la quieres publicar aquí.

El hecho de estar en la v6 es más por dependencia con algunos proveedores de IPSec que otra cosa (la cual no puedo controlar desgraciadamente).

Tema de colas tenemos configuradas, pero es algo que quiero echarle un vistazo ya que me gustaría entender por qué las tenemos así configuradas, jejeje si no es molestia, me gustaría entender y tener fino todo el tema de CAPsMAN que es lo que más se me "complica" antes de ver si la problemática es por otro tema

Lo que propongo: rehacer la config de caps-man para trabajar con algo mucho más sencillo. No sé exactamente de dónde viene tu problema, pero esa configuración es muy mejorable. Y, de paso, enseñarte a usarlo, para que no dependas de nadie más que de tus propios conocimientos para manejar esos 6 APs, o los que sea que pongáis a funcionar. Como recomendación, migraría también la config de la wifi de invitados aquí, por evitar problemas de interferencias con los otros APs.

Perfecto, con algunos temas que has comentado me voy a poner a mejorarlo (cambio de los canales, potencias reducidas, aprovisionamiento dinámico) para ver si veo alguna mejoría.

Con respecto a lo del wifi de invitados, al no ser posible migrarlo, ¿crees ideal que deje los canales y potencia regulados? (ahora mismo está en automático, cosa que puede interferir con la red que si tiene problemas)

pokoyo · 15 Junio 2022

harsxhe dijo:
Jajaja, me alegro que alguien disfrute con esto entonces

Exacto, esa solución de "local forwarding" la suelen recomendar cuando se tienen estos problemas de velocidad (por lo menos lo que he estado leyendo mientras sufría), sin embargo esta opción "obliga" a que cada AP esté configurado individualmente, cosa que no nos interesa.

Correcto, cada APs está configurado en CAPS mode, y pillan la configuración a través del bridge y la VLAN que tenemos configurado para este caso en concreto.

Te diría que pasa de continuo, aunque hay "zonas" o ubicaciones dentro de la oficina donde esta problemática no ocurre tan a menudo.

Tema de roaming es cierto que a veces se quedan pegados que da gusto al primer APs que pillan, pero he estado monitorizando a través de la pestaña "Registration" a que APs se estaban conectando y con qué intensidad y esto ocurría tanto estando en un AP lejano (más normal), como teniendo el AP que le corresponde a nivel ubicación (por decir algo, señales de -42 con respecto al Rx)

Exacto, digamos que son 5 APs, ya que el AP 5 está ubicado bastante lejos de la oficina y no habría conflicto ninguno.

Entiendo entonces, que para el 2.4GHz debería gestionar mejor el tema de los canales, siendo 5 los APs que están "juntos", va a ser inevitable que algunos canales coincidan entre sí como comentas.

El tema de la red de invitados (para poder entenderlo), directamente es una instalación de FFTH independiente del escenario que comento, con su propio Mikrotik (sus propias reglas, configuraciones, hotspot...) y que luego se gestionan desde los ruckus pero que están ubicados en la misma oficina en la que estamos, por lo que, efectivamente puede agravar todavía más el problema de los canales ya que se ven entre si y se causan ruido entre ellos.

Exacto, eso sería el caso ideal el de tener la wifi de invitados como un "esclavo" del master; lo que ahora mismo no se tendría la capacidad de gestionarlo (ya que antes habría que migrar todo lo que hay en el mikrotik "invitados" por así decir).

Vale, entiendo todo entonces. Con respecto a los planos los adjunto, pero te puedo indicar que:

- El AP1 y 3 están en una posición similar, pero con una planta de diferencia
- El AP2 y 4 exactamente igual, posición similar pero con una planta de diferencia.
- El AP 5 está fuera de la ecuación por lo que comenté al estar muy alejados de los demás.
- El AP6 realmente se quiere dar solo para un despacho en concreto y nada más (por lo que puede estar mucho menos potente en teoría)

El parámetro de client-to-client-forwarding no lo tengo definido, pero diría por lo que habilita esto (que los dispositivos se vean dentro de un mismo cliente), lo marcaríamos en no, ¿correcto?

Con respecto al mtu cierto, sobra bastante ya que no tiene que haber dependencias con ese parámetro de transmisión.

Sin problemas, es cierto que si ya están definidos en sus propias pestañas, no tiene sentido volver a configurarlos manualmente y lo ideal sería referenciarlos. Lo de la modulación perfecto, fueron pruebas mías que no han ayudado ni empeorado por suerte.

Entiendo que a través de provisioning las interfaces se crean solas, simplemente es definir qué condiciones ha de cumplir el APs para que se le aplique la configuración que queramos. No he trasteado con ello, pero le voy echando un vistazo, ya que esa necesidad de gestionarlos bajo demanda no existe realmente.

jajajaja, básicamente se restringen los dispositivos mediante un filtrado MAC, y se permite que los dispositivos "momentáneamente" tengan una señal floja con su AP antes de ser desconectados según el AP al que estén conectados (allow signal out of range).

No sé si realmente ayuda o empeora este parámetro para el roaming (ya que 10 segundos tal vez es mucho tiempo o no es el parámetro adecuado para "forzar" un roaming)

El hecho de estar en la v6 es más por dependencia con algunos proveedores de IPSec que otra cosa (la cual no puedo controlar desgraciadamente).

Tema de colas tenemos configuradas, pero es algo que quiero echarle un vistazo ya que me gustaría entender por qué las tenemos así configuradas, jejeje si no es molestia, me gustaría entender y tener fino todo el tema de CAPsMAN que es lo que más se me "complica" antes de ver si la problemática es por otro tema

Perfecto, con algunos temas que has comentado me voy a poner a mejorarlo (cambio de los canales, potencias reducidas, aprovisionamiento dinámico) para ver si veo alguna mejoría.

Con respecto a lo del wifi de invitados, al no ser posible migrarlo, ¿crees ideal que deje los canales y potencia regulados? (ahora mismo está en automático, cosa que puede interferir con la red que si tiene problemas)

Me lo leo tranquílamente a la noche y mañana te planteo una config sobre la que puedas ir trabajando. Guarda backup de lo que tienes ahora mismo, que tengamos un punto de restauración si la liamos.

Por otro lado, veo que hablas de vlans. Sin embargo, los datapath apuntan cada uno a un bridge.

Con respecto a la red de invitados, de momento déjala aparte, pero necesitaríamos apagarla mientras probamos esta, tal que te asegures que los males no vienen de ahí.

Viendo el plano, es más que probable que estés pecando por exceso, más que por defecto.

Saludos!

harsxhe · 16 Junio 2022

Me lo leo tranquílamente a la noche y mañana te planteo una config sobre la que puedas ir trabajando. Guarda backup de lo que tienes ahora mismo, que tengamos un punto de restauración si la liamos.

Sin problemas, prisa no tengo ya que lo importante es aprender sobre el tema y mientras voy yo leyendo sobre lo que comenta Mikrotik por sus manuales para entender por qué ocurre esto

Por otro lado, veo que hablas de vlans. Sin embargo, los datapath apuntan cada uno a un bridge.

En este caso hablaba porque luego el bridge está asociado a una VLAN, pero cosas mías

Con respecto a la red de invitados, de momento déjala aparte, pero necesitaríamos apagarla mientras probamos esta, tal que te asegures que los males no vienen de ahí.

Viendo el plano, es más que probable que estés pecando por exceso, más que por defecto.

Entiendo, a veces por "pecar" de ver unas señales buenas en los dispositivos veo que nos estamos pasando de potencia

De acuerdo, quedo un poco a la espera teniendo en cuenta todos los consejos que comentas para poder aplicar los cambios de forma eficaz

Muchas gracias

pokoyo · 16 Junio 2022

harsxhe dijo:
En este caso hablaba porque luego el bridge está asociado a una VLAN, pero cosas mías

Te lo digo porque esta es la manera "buena" de hacerlo (se puede hacer de mil maneras, pero es la más limpia). Las wifi's van cada una sobre su VLAN y todas asociadas a un mismo bridge. Y luego, en el bridge, implementas filtrado de VLANs. No obstante, me ajusto de momento a lo que tengo (cuando puedas, pásame la config completa del router por privado, y así tendré visibilidad completa de lo que tenéis montado).

Vamos a empezar si quieres por el AP que tienes "de pico" el 5, el del Almacén. Elijo este porque sospecho que es el que menos daño hará que toques. Vamos a crearle todo nuevo para ese AP.

Ahora revisando tu export a conciencia, veo que tienes los canales de 2,4GHz con extensión de 40MHz (extension-channel=Ce). Eso es una cagada gorda, sólo lo deberías hacer en 5GHz. De los 11 canales disponibles en españa para 2,4GHz, los únicos que no colisionan entre sí son el 1, el 6 y el 11, usando 20MHz de ancho de canal. Si configuras el canal 1 con 40MHz, te pasa lo que ves en la siguiente foto:

Es decir, con la definición de un canal, estás jodiendo casi todo el espectro inalámbrico en 2,4. Si a eso le sumas que tienes los tres canales definidos así, y encima uno lo tenías en un canal que ya de por sí solapa (canal 9), pues te puedes imaginar la que había liada.

Prueba con esta config que te mando. Mételo en un fichero "new-capsman.rsc", lo subes al router y lo importas desde terminal con un comando tal que así: import new-capsman.rsc. Toda la config va anotada con un comentario "pky", tal que te sea muy sencillo identificarlo.

Una vez importado, ve a la primera pestaña en CAPsMAN y localiza las entradas para el AP número 5 del almacén. Esas entradas las seleccionas y le das al botón de deshabilitar (el aspa roja). Hecho esto vas a la pestaña Remote Cap, localizas el AP número 5, lo seleccionas y pulsas el botón "Provision". Como encontrará reglas de provisión dinámcias para sus direcciones MAC, creará en la primera pestaña entradas dinámicas con esa configuración. Lo he configurado en el canal 6 sin extensiones para la red de 2,4GHz, y en el 36 como lo tenías, con extensión de 40MHz para la de 5GHz. De las dos redes que crea, en la primera, "Polivini Red" los clientes se ven entre sí (client-to-client-forwarding=yes) y en la segunda "Polivini Terminal", no lo hacen (esto lo podemos cambiar a gusto de consumidor). Ambas redes usan el mismo security profile, que apuntará al Radius que tengas configurado.

Una vez lo tengas, levantado, te vas con un par de dispositivos cerca del AP y pruebas. Lo tengo a la mitad de potencia, 17dBM para 2,4GHz, y a todo lo que da en 5.

Código:

/caps-man security
add authentication-types=wpa2-eap eap-methods=passthrough \
encryption=aes-ccm group-encryption=aes-ccm name=radius comment=pky
/caps-man datapath
add bridge=Wifi_red client-to-client-forwarding=yes name=polivini-red comment=pky
add bridge=Wifi_term client-to-client-forwarding=no name=polivini-terminal comment=pky
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
  frequency=2437 name=2ghz-ch06-20 comment=pky
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ce \
  frequency=5180 name=5ghz-ch36-40 comment=pky
/caps-man configuration
add channel=2ghz-ch06-20 channel.tx-power=17 country=spain datapath=polivini-red \
  installation=indoor mode=ap name=2ghz-AP5-red security=radius ssid="Polivini Red" \
  comment=pky
add channel=5ghz-ch36-40 country=spain datapath=polivini-red \
  installation=indoor mode=ap name=5ghz-AP5-red security=radius ssid="Polivini Red" \
  comment=pky
add country=spain datapath=polivini-terminal \
  installation=indoor mode=ap name=Xghz-AP5-terminal security=radius ssid="Polivini Terminal" \
  comment=pky
/caps-man provisioning
add action=create-dynamic-enabled comment=pky master-configuration=\
  2ghz-AP5-red name-format=prefix-identity name-prefix=2ghz radio-mac=\
  CC:2D:E0:95:BC:92 slave-configurations=Xghz-AP5-terminal
add action=create-dynamic-enabled comment=pky master-configuration=\
  5ghz-AP5-red name-format=prefix-identity name-prefix=5ghz radio-mac=\
  CC:2D:E0:95:BC:93 slave-configurations=Xghz-AP5-terminal

Prueba y me dices el resultado.

Saludos

harsxhe · 20 Junio 2022

Te lo digo porque esta es la manera "buena" de hacerlo (se puede hacer de mil maneras, pero es la más limpia). Las wifi's van cada una sobre su VLAN y todas asociadas a un mismo bridge. Y luego, en el bridge, implementas filtrado de VLANs.
No obstante, me ajusto de momento a lo que tengo (cuando puedas, pásame la config completa del router por privado, y así tendré visibilidad completa de lo que tenéis montado).

Entiendo, siempre interesa dejarlo de la forma más limpia, le echaré un vistazo a ver qué implicaciones tendría cambiar eso jeje

Con respecto a lo de la configuración necesitaría confirmarlo con mi superior, pero no creo que hubiese mucho problema, cuando lo tuviese te lo paso al privado.

Vamos a empezar si quieres por el AP que tienes "de pico" el 5, el del Almacén. Elijo este porque sospecho que es el que menos daño hará que toques. Vamos a crearle todo nuevo para ese AP.
Ahora revisando tu export a conciencia, veo que tienes los canales de 2,4GHz con extensión de 40MHz (extension-channel=Ce). Eso es una cagada gorda, sólo lo deberías hacer en 5GHz. De los 11 canales disponibles en españa para 2,4GHz, los únicos que no colisionan entre sí son el 1, el 6 y el 11, usando 20MHz de ancho de canal. Si configuras el canal 1 con 40MHz, te pasa lo que ves en la siguiente foto:

Ver el adjunto 96048

Es decir, con la definición de un canal, estás jodiendo casi todo el espectro inalámbrico en 2,4. Si a eso le sumas que tienes los tres canales definidos así, y encima uno lo tenías en un canal que ya de por sí solapa (canal 9), pues te puedes imaginar la que había liada.

Vaya, yo "entendí" que al estar en un channel "Ce", se utilizaba el primer canal como "principal", y ya luego la siguiente banda como auxiliar, pero claro al final estás abarcando todo. Sinceramente, no me había fijado en que había un extension channel de "disabled", fallo mío por no verificarlo, ya que eso aliviará mucho los canales en 2.4Ghz.

Código:
Prueba con esta config que te mando. Mételo en un fichero "new-capsman.rsc", lo subes al router y lo importas desde terminal con un comando tal que así: import new-capsman.rsc. Toda la config va anotada con un comentario "pky", tal que te sea muy sencillo identificarlo.

Una vez importado, ve a la primera pestaña en CAPsMAN y localiza las entradas para el AP número 5 del almacén. Esas entradas las seleccionas y le das al botón de deshabilitar (el aspa roja). Hecho esto vas a la pestaña Remote Cap, localizas el AP número 5, lo seleccionas y pulsas el botón "Provision". Como encontrará reglas de provisión dinámicas para sus direcciones MAC, creará en la primera pestaña entradas dinámicas con esa configuración. Lo he configurado en el canal 6 sin extensiones para la red de 2,4GHz, y en el 36 como lo tenías, con extensión de 40MHz para la de 5GHz. De las dos redes que crea, en la primera, "Polivini Red" los clientes se ven entre sí (client-to-client-forwarding=yes) y en la segunda "Polivini Terminal", no lo hacen (esto lo podemos cambiar a gusto de consumidor). Ambas redes usan el mismo security profile, que apuntará al Radius que tengas configurado.

Una vez lo tengas, levantado, te vas con un par de dispositivos cerca del AP y pruebas. Lo tengo a la mitad de potencia, 17dBM para 2,4GHz, y a todo lo que da en 5.

Código:

/caps-man security add authentication-types=wpa2-eap eap-methods=passthrough \ encryption=aes-ccm group-encryption=aes-ccm name=radius comment=pky /caps-man datapath add bridge=Wifi_red client-to-client-forwarding=yes name=polivini-red comment=pky add bridge=Wifi_term client-to-client-forwarding=no name=polivini-terminal comment=pky /caps-man channel add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \ frequency=2437 name=2ghz-ch06-20 comment=pky add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ce \ frequency=5180 name=5ghz-ch36-40 comment=pky /caps-man configuration add channel=2ghz-ch06-20 channel.tx-power=17 country=spain datapath=polivini-red \ installation=indoor mode=ap name=2ghz-AP5-red security=radius ssid="Polivini Red" \ comment=pky add channel=5ghz-ch36-40 country=spain datapath=polivini-red \ installation=indoor mode=ap name=5ghz-AP5-red security=radius ssid="Polivini Red" \ comment=pky add country=spain datapath=polivini-terminal \ installation=indoor mode=ap name=Xghz-AP5-terminal security=radius ssid="Polivini Terminal" \ comment=pky /caps-man provisioning add action=create-dynamic-enabled comment=pky master-configuration=\ 2ghz-AP5-red name-format=prefix-identity name-prefix=2ghz radio-mac=\ CC:2D:E0:95:BC:92 slave-configurations=Xghz-AP5-terminal add action=create-dynamic-enabled comment=pky master-configuration=\ 5ghz-AP5-red name-format=prefix-identity name-prefix=5ghz radio-mac=\ CC:2D:E0:95:BC:93 slave-configurations=Xghz-AP5-terminal

Prueba y me dices el resultado.

Perfecto, veo que los pasos no son muy complejos y ya lo de empezar con el AP5 es lo ideal por lo que comentas (está alejado de los demás APs y lo podemos usar de pruebas).

Voy a hacer las pruebas y a lo largo del día actualizo el post con los resultados antes y después con un par de dispositivos para ver si hay una mejoría

Muchas gracias de verdad, siempre se agradecen estos posts, ya no solo por "solucionar" las cosas, sino por aprender y entender cómo se hila y funciona este mundo tan complejo jejeje

Saludos,

pokoyo · 20 Junio 2022

De nada. Si quieres trabajar un pelín la configuración que tienes actual, te diría que el fallo más gordo es la extensión de canal en 2,4GHz y la potencia y el uso del canal9. Si modificas esas tres cosas, ya deberías notar mejoría, si no hay algo más gordo que se me haya colado. Yo lo dejaría así:

Canales 1, 6 y 11 únicamente
Sin extensión de canal
Potencia de los APs por configuración no por canal: 14dBM todos y 17dBm el del almacén (un cuarto y la mitad de potencia nominal, respectivamente).

Y, para probar, deshabilita por completo todas las reglas del access list, que no les veo sentido alguno.

Saludos!

harsxhe · 20 Junio 2022

Buenas,

Por actualizar un poco lo realizado, comento:

- El AP 5 lo he configurado tal como has dicho, y la regla de provisioning la crea correctamente. He estado probando un poco cómo funciona esta pestaña, y la verdad es que es mucho más cómodo de lo que teníamos en principio jeje.

- He realizado pruebas antes y después del cambio, y es cierto que en este caso no hay mucha diferencia, pero porque este AP está muy alejado de los otros, y no va a haber interferencias de ningún tipo. No obstante, pongo los resultados de la tasa de bajada/subida y la señal Rx.

- Mañana haré los cambios principales que comentaste (canales 1, 6, 11; sin Ce en 2.4Ghz, "centralización de la configuración"; potencia en los APs), y os comento qué tal.

Una duda que me surje, es cómo le podría asignar una IP a este APs ahora (o como conectarme en remoto sea SSH o Winbox), ya que monitorizamos estos puntos de acceso por SNMP y voy a aprovechar de dejarlos bien etiquetados con estos cambios, y no he visto manera de hacerlo de forma remota (en su día parece que lo hicieron con una IP estática, por lo que no pillan la IP automáticamente por DHCP). Si es necesario montar un DHCP, pues lo podria dejar montado.

PD: Con respecto a lo de las extensiones Ce, me "extraña" que en las últimas mediciones que nos hicieron no se vea ese problema de que la 2.4Ghz ocupe tantos canales, pero los dejaré sin extensión ya que tiene su lógica, pensaba que el auxiliar lo usaría en caso de tener el principal saturado y no siempre, ya que siempre sería un problema gordo como comentas. La imagen que adjunto es un ejemplo de estas mediciones.

Un saludo,

Antes de los cambios 2.4 GHz: (subida/bajada en mbps -intensidad_señal)

Zona 1: 90/50 -55
Zona 2: 86/50 -53
Zona 3: 71/40 -55
Zona 4: 36/10 -63
Zona 5: 25/10 -70
Zona 6: 70/25 -61

Después de los cambios 2.4 GHz: subida/bajada en mbps -intensidad_señal)

Zona 1: 90/60 -51
Zona 2: 70/59 -58
Zona 3: 70/50 -53
Zona 4: 20/20 -69
Zona 5: 30/20 -75
Zona 6: 50/26 -57

Antes de los cambios 5 GHz: subida/bajada en mbps -intensidad_señal)

Zona 1: 170/50 -59
Zona 2: 160/70 -59
Zona 3: 162/80 -58
Zona 4: 155/91 -58
Zona 5: 50/50 -78
Zona 6: 130/100 -70

Después de los cambios 5 GHz: subida/bajada en mbps -intensidad_señal)

Zona 1: 152/134 -56
Zona 2: 147/36 -60
Zona 3: 55/95 -53
Zona 4: 130/100 -60
Zona 5: 100/35 -77
Zona 6: 110/80 -66

pokoyo · 20 Junio 2022

harsxhe dijo:
Una duda que me surje, es cómo le podría asignar una IP a este APs ahora (o como conectarme en remoto sea SSH o Winbox), ya que monitorizamos estos puntos de acceso por SNMP y voy a aprovechar de dejarlos bien etiquetados con estos cambios, y no he visto manera de hacerlo de forma remota (en su día parece que lo hicieron con una IP estática, por lo que no pillan la IP automáticamente por DHCP). Si es necesario montar un DHCP, pues lo podria dejar montado.

Revisa la tabla ARP del router, a ver si lo localizas. Sino, mira también en IP -> Neighbors. Entiendo que, si la puso estática, en algún lado lo dejó documentado.

harsxhe dijo:
PD: Con respecto a lo de las extensiones Ce, me "extraña" que en las últimas mediciones que nos hicieron no se vea ese problema de que la 2.4Ghz ocupe tantos canales, pero los dejaré sin extensión ya que tiene su lógica, pensaba que el auxiliar lo usaría en caso de tener el principal saturado y no siempre, ya que siempre sería un problema gordo como comentas. La imagen que adjunto es un ejemplo de estas mediciones.

Si lo pasas ahora, ¿te sigue mostrando esa misma imagen? No hace falta que tengas un chisme profesional como ese, con una app móvil que te muestre lo mismo te vale igualmente. Según la config que tienes, y a menos que en algún apartado "pises" lo definido en canales, tienes 40MHz de ancho de canal en 2,4. Y es el principal problema que tienes.

Si quieres un consejo: aunque te cueste rehacerlo, yo montaría una configuración nueva. Y, de entrada, la montaría sobre el papel, teniendo en cuenta también la red de invitados. Quizá te compense manejar sólo 5GHz en esos APs, y tener quizá uno residual que maneje ambas redes, allá donde lo necesites. Pero si tienes 6 APs por un lado más otros dos o tres de invitados por otro, o haces una planificación correcta de los canales en 2,4GHz, o más temprano que tarde volverás a tener el problema que te trajo aquí. No puedes solapar dos señales en el mismo canal con tantísima potencia (lo ves en el analizador de espectro), puesto que vas a reducir la capacidad de hablar de los dispositivos a la mitad (el tiempo de acceso al medio se divide).

Saludos!

harsxhe · 21 Junio 2022

Revisa la tabla ARP del router, a ver si lo localizas. Sino, mira también en IP -> Neighbors. Entiendo que, si la puso estática, en algún lado lo dejó documentado.

Muchas gracias, no conocía este método. Ya desde ahí si que me ha dejado acceder por mac-telnet y ya le he configurado un par de cosas que son independientes a lo del WiFi (servicio SNMP, NTP, etc..)

Si lo pasas ahora, ¿te sigue mostrando esa misma imagen? No hace falta que tengas un chisme profesional como ese, con una app móvil que te muestre lo mismo te vale igualmente. Según la config que tienes, y a menos que en algún apartado "pises" lo definido en canales, tienes 40MHz de ancho de canal en 2,4. Y es el principal problema que tienes.

Pues mira que lo he hecho convencido de que iba a salir igual que en las mediciones del "cacharro" profesional, pero qué sorpresa me he encontrado... jajajaja

- Efectivamente, en el AP 5 en 2.4GHz que hemos quitado ya el extension-channel y limitado a 17dBm, se ven las frecuencias bien delimitadas, pero había algo que no me encajaba, ya que la "app" de móvil, me detectaba otra red WiFi de nuestra red (Polivini Terminal), pero que efectivamente estaba a una frecuencia de 40Mhz

- Ya he aprovechado, y me he ido a otra ubicación de la oficina donde está un AP aún sin configurar de esta vía (es decir, que el 2.4GHz está aún con máxima potencia y Ce en extension-channel), y efectivamente, está ocupando todos esos canales.

- Ya sé que para la próxima no me fío de análisis "profesionales", porque que no apareciese eso en dichas mediciones... jajajaja

Si quieres un consejo: aunque te cueste rehacerlo, yo montaría una configuración nueva. Y, de entrada, la montaría sobre el papel, teniendo en cuenta también la red de invitados. Quizá te compense manejar sólo 5GHz en esos APs, y tener quizá uno residual que maneje ambas redes, allá donde lo necesites. Pero si tienes 6 APs por un lado más otros dos o tres de invitados por otro, o haces una planificación correcta de los canales en 2,4GHz, o más temprano que tarde volverás a tener el problema que te trajo aquí. No puedes solapar dos señales en el mismo canal con tantísima potencia (lo ves en el analizador de espectro), puesto que vas a reducir la capacidad de hablar de los dispositivos a la mitad (el tiempo de acceso al medio se divide).

Exacto, en este caso he "rehecho" todo lo de CApsMAN (todos los puntos los he dejado en modo CAP por si acaso, y mismas reglas "personalizadas" en todas ellas) y de la Wifi realmente solo me falta eliminar las interfaces estáticas y provisionarlas con las reglas que he creado ya dinámicas, con lo que hemos visto era ideal.

El tema de la red de Invitados es un tema que vamos a considerar, pero mi pregunta es, ¿no puede haber más inseguridad al pasar la red de invitados bajo el mismo router que la red de oficina?

Me explico, ya que ahora mismo, hay una separación de redes a nivel físico y lógico; y si se tuviese con el planteamiento que comentas, ya esta separación física "desaparecería" como tal, haciéndolo más vulnerable/explotable ¿no?

¿O crees que no merece la pena realizar tal separación, dado que con unas buenas reglas de segmentación de redes esto no debe ocurrir?

Mañana desplegaré todos los cambios en los APs y os comento los resultados en cuanto a potencia y velocidades

Gracias.

pokoyo · 21 Junio 2022

harsxhe dijo:
Muchas gracias, no conocía este método. Ya desde ahí si que me ha dejado acceder por mac-telnet y ya le he configurado un par de cosas que son independientes a lo del WiFi (servicio SNMP, NTP, etc..)

De lujo.

harsxhe dijo:
Pues mira que lo he hecho convencido de que iba a salir igual que en las mediciones del "cacharro" profesional, pero qué sorpresa me he encontrado... jajajaja

- Efectivamente, en el AP 5 en 2.4GHz que hemos quitado ya el extension-channel y limitado a 17dBm, se ven las frecuencias bien delimitadas, pero había algo que no me encajaba, ya que la "app" de móvil, me detectaba otra red WiFi de nuestra red (Polivini Terminal), pero que efectivamente estaba a una frecuencia de 40Mhz

Ahí está la caca, sin duda. Eso es lo que te está jodiendo vivo.

harsxhe dijo:
Exacto, en este caso he "rehecho" todo lo de CApsMAN (todos los puntos los he dejado en modo CAP por si acaso, y mismas reglas "personalizadas" en todas ellas) y de la Wifi realmente solo me falta eliminar las interfaces estáticas y provisionarlas con las reglas que he creado ya dinámicas, con lo que hemos visto era ideal.

Genial. El datapath y la seguridad no necesitarías tocarlas (sólo si metes también la red de invitados), pero crearías un par de configuraciones por cada AP, la de 2,4 y la de 5GHz para la red principal, para luego entregarlas en sendas reglas de provisioning. La configuración esclava es común para todos los APs, tanto en 2,4 como en 5GHz, ya que "manda" la configuración maestra (es la que lleva el canal, potencia y todas las características físicas del radio). Y, para cada AP, dos reglas de provisioning, entregando cada una una pareja de configuración maestras/esclava. Recuerda que el match suele hacerse por dirección MAC, y que cada AP tiene dos radios (dos interfaces inalámbricas). Pero básicamente seguirían el mismo patrón que la que ya tienes. Para la elección de canales de 2,4GHz, viendo tu primer plano, iría:

Planta baja
AP 1 - canal 1, 14dBm
AP4 - canal 11, 14dBm
AP 5 - canal 6 (almacén) 17dBm

Primera planta
AP3 - canal 6 - 10dBm (con posibilidad de subirlo a 14 si te quedas corto)
AP6 - canal 11 - 10dBm
AP2 - canal 1 - 10dBm (con posibilidad de subirlo a 14 si te quedas corto)

harsxhe dijo:
El tema de la red de Invitados es un tema que vamos a considerar, pero mi pregunta es, ¿no puede haber más inseguridad al pasar la red de invitados bajo el mismo router que la red de oficina?

Obviamente tienes más seguridad si segmentas tanto lógica como físicamente. Pero lo que puedes hacer, si ambas conexiones están en el rack, es usar la segunda conexión como failover de la primera para la red principal, y, vía configuración en el mikrotik, usar esa como la única salida de la red de invitados (y si esa se cae, pues los invitados se quedan sin red, pero no vosotros). Si ya trabajas con VLANs, segmentar la red de invitados para que no vea a nadie es simple y ganas dos cosas: quitas redes y APs de en medio, tal que las únicas señales inalámbricas sean la de tus 6 APs, y además aprovechas la conexión como failover, tal que no te quedes nunca sin conexión. Lo digo porque, todo lo que puedas sacar de ahí señales inalámbricas que estén pisándose entre ellas, es mejora que vas a ganar. Si esto no puedes hacerlo, y quieres mantener la wifi de invitados separada, yo apagaría los radios de 2,4GHz de los APs de mikrotik, y los encendería sólo donde sean exclusivamente necesarios, dejando que la red de invitados ocupe esa frecuencia. Por eso te digo, que lo primero es plasmarlo en papel, y luego implementarlo.

Yo en tu caso lo tendría claro. Usaría la conexión secundaria que tenéis contratada para chutar el tráfico de la red de invitados, y también como failover de la conexión principal. Tráfico segmentado en VLANs y, la de invitados, con acceso únicamente a internet, y sin forwarding entre clientes (que no se vean entre sí). Se pueden incluso entregar direcciones tipo a las que entregan los HotSpot, de tipo /32 sin broadcast alguno. Creo que es seguridad más que suficiente, a menos que vuestro negocio tenga un requisito legal de separación física de redes (que los hay).

harsxhe dijo:
Mañana desplegaré todos los cambios en los APs y os comento los resultados en cuanto a potencia y velocidades

Ánimo con ello, vas a dejar la red mucho más limpia. Habría que meterle mano también a las reglas del address list, podemos implementar una regla general para forzar el roaming entre APs, aunque lo primero es ver qué tal se portan los dispositivos sin ella.

Saludos!

harsxhe · 22 Junio 2022

Genial. El datapath y la seguridad no necesitarías tocarlas (sólo si metes también la red de invitados), pero crearías un par de configuraciones por cada AP, la de 2,4 y la de 5GHz para la red principal, para luego entregarlas en sendas reglas de provisioning. La configuración esclava es común para todos los APs, tanto en 2,4 como en 5GHz, ya que "manda" la configuración maestra (es la que lleva el canal, potencia y todas las características físicas del radio). Y, para cada AP, dos reglas de provisioning, entregando cada una una pareja de configuración maestras/esclava. Recuerda que el match suele hacerse por dirección MAC, y que cada AP tiene dos radios (dos interfaces inalámbricas). Pero básicamente seguirían el mismo patrón que la que ya tienes. Para la elección de canales de 2,4GHz, viendo tu primer plano, iría:

Planta baja
AP 1 - canal 1, 14dBm
AP4 - canal 11, 14dBm
AP 5 - canal 6 (almacén) 17dBm

Primera planta
AP3 - canal 6 - 10dBm (con posibilidad de subirlo a 14 si te quedas corto)
AP6 - canal 11 - 10dBm
AP2 - canal 1 - 10dBm (con posibilidad de subirlo a 14 si te quedas corto)

Perfecto, con respecto a los canales y potencias que indicas, al final las he dejado así, ya que haciendo las pruebas con la configuración inicial aún me podía conectar a ciertos APs que no "correspondían" por la zona y ubicación donde hacía la prueba. Al final lo he dejado así para el 2.4 GHz:

Planta baja
AP 1 - canal 1 - 10dBm
AP 4 - canal 11 - 10dBm
AP 5 - canal 6 - 17dBm

Primera planta
AP 3 - canal 6 - 10dBm
AP 6 - canal 11 - 7dBm
AP 2 - canal 1 - 7dBm

Para los 5GHz, los he dejado de la siguiente forma, aunque no sé si convendría o si lo ves mejorable:

Planta baja
AP 1 - canal 36 - dBm por defecto
AP 4 - canal 52 - dBm por defecto
AP 5 - canal 44 - dBm por defecto

Primera planta
AP 3 - canal 44 - dBm por defecto
AP 6 - canal 52 - 10dBm (solo queremos que dé a esa sala pequeña)
AP 2 - canal 36 - 10dBm (solo queremos que dé a esa sala pequeña)

Obviamente tienes más seguridad si segmentas tanto lógica como físicamente. Pero lo que puedes hacer, si ambas conexiones están en el rack, es usar la segunda conexión como failover de la primera para la red principal, y, vía configuración en el mikrotik, usar esa como la única salida de la red de invitados (y si esa se cae, pues los invitados se quedan sin red, pero no vosotros). Si ya trabajas con VLANs, segmentar la red de invitados para que no vea a nadie es simple y ganas dos cosas: quitas redes y APs de en medio, tal que las únicas señales inalámbricas sean la de tus 6 APs, y además aprovechas la conexión como failover, tal que no te quedes nunca sin conexión. Lo digo porque, todo lo que puedas sacar de ahí señales inalámbricas que estén pisándose entre ellas, es mejora que vas a ganar. Si esto no puedes hacerlo, y quieres mantener la wifi de invitados separada, yo apagaría los radios de 2,4GHz de los APs de mikrotik, y los encendería sólo donde sean exclusivamente necesarios, dejando que la red de invitados ocupe esa frecuencia. Por eso te digo, que lo primero es plasmarlo en papel, y luego implementarlo.

Yo en tu caso lo tendría claro. Usaría la conexión secundaria que tenéis contratada para chutar el tráfico de la red de invitados, y también como failover de la conexión principal. Tráfico segmentado en VLANs y, la de invitados, con acceso únicamente a internet, y sin forwarding entre clientes (que no se vean entre sí). Se pueden incluso entregar direcciones tipo a las que entregan los HotSpot, de tipo /32 sin broadcast alguno. Creo que es seguridad más que suficiente, a menos que vuestro negocio tenga un requisito legal de separación física de redes (que los hay).

Entiendo, gracias por la explicación. Si es cierto que vendría bien tener esa segunda conexión de fibra como failover en caso de que se nos cayese la actual, pero eso actualmente ya lo tenemos configurado (a través de satélite e incluso uno de 4G en caso de que fallase), así que por esa parte estamos cubiertos jejejeje

Ánimo con ello, vas a dejar la red mucho más limpia. Habría que meterle mano también a las reglas del address list, podemos implementar una regla general para forzar el roaming entre APs, aunque lo primero es ver qué tal se portan los dispositivos sin ella.

Muchas gracias por la ayuda de verdad, se me han saltado hasta las lágrimas con lo que voy a poner a continuación jajajaja

Después de configurar lo que he indicado, los resultados son muy satisfactorios, siempre sacando entre 30 y 200mbps dependiendo de la ubicación y del AP al que me quedo conectado/colgando.

Lo que comentas del roaming, ¿con estos resultados los ves necesarios? Si es cierto, que realizando las pruebas, dependiendo de la zona he tenido que "forzar" el conectarme a cierto AP para ver sus resultados

Adjunto los resultados, junto con los planos nuevamente, donde indico las zonas donde he hecho las pruebas y donde están localizadas esas "salas" de reuniones, para el tema del roaming (si hiciese falta).

Un saludo,

Código:

Zona 1    Rx Signal    mbps bajada    mbps subida
AP6 2.4Ghz    -40    30    40
AP3 2.4Ghz    -54    20    12
AP3 5Ghz    -61    104    68
           
           
Zona 2    Rx Signal    mbps bajada    mbps subida
AP6 2.4Ghz    -41    30    40
AP3 2.4Ghz    -47    52    61
AP3 5Ghz    -50    182    82
           
           
Zona 3    Rx Signal    mbps bajada    mbps subida
AP3 2.4Ghz    -44    55    15
AP1 2.4Ghz    -45    59    16
AP3 5Ghz    -57    138    120
           
           
Zona 4    Rx Signal    mbps bajada    mbps subida
AP3 5Ghz    -62    112    118
AP3 2.4Ghz    -63    33    20
           
           
Zona 5    Rx Signal    mbps bajada    mbps subida
AP6 2.4Ghz    -33    70    80
AP6 5Ghz    -42    200    180
AP1 2.4Ghz    -51    38    33
AP3 2.4Ghz    -54    32    22
AP3 5Ghz    -58    150    132
AP1 5Ghz    -61    100    80
           
           
Zona 6    Rx Signal    mbps bajada    mbps subida
AP2 2.4Ghz    -33    40    35
AP2 5Ghz    -34    120    90
AP3 2.4Ghz    -70    8    6
           
           
Zona 7    Rx Signal    mbps bajada    mbps subida
AP2 5Ghz    -53    60    20
AP3 5Ghz    -70    120    90
           
           
Zona 8    Rx Signal    mbps bajada    mbps subida
AP1 5Ghz    -52    100    103
AP1 2.4Ghz    -48    26    25
AP3 5Ghz    -65    59    18
AP3 2.4Ghz    -64    17    17
           
           
Zona 9    Rx Signal    mbps bajada    mbps subida
AP1 2.4Ghz    -35    40    21
AP1 5Ghz    -35    185    111
AP6 2.4Ghz    -60    41    20
AP3 5Ghz    -65    118    61
           
           
Zona 10    Rx Signal    mbps bajada    mbps subida
AP4 2.4Ghz    -53    22    4
AP1 2.4Ghz    -54    36    36
AP1 5Ghz    -57    163    167
AP4 5Ghz    -58    84    33
           
           
Zona 11    Rx Signal    mbps bajada    mbps subida
AP4 2.4Ghz    -36    30    20
AP4 5Ghz    -43    174    23
AP1 2.4Ghz    -50    30    15
AP1 5Ghz    -59    56    82
           
           
Zona 12    Rx Signal    mbps bajada    mbps subida
AP1 2.4Ghz    -50    27    20
AP4 5Ghz    -50    150    100
AP4 2.4Ghz    -52    12    4
AP1 5Ghz    -62    91    56
           
           
Zona 13    Rx Signal    mbps bajada    mbps subida
AP2 5Ghz    -52    100    70
AP4 5Ghz    -62    161    70
           
           
Zona 14    Rx Signal    mbps bajada    mbps subida
AP2 5Ghz    -52    120    66
AP4 5Ghz    -59    146    92

pokoyo · 22 Junio 2022

Vale, con esto que muestras, yo concluyo dos cosas:
- a) que el problema más gordo venía de ocupar 40MHz con la red de 2,4GHz, amén de tener los data rates tocados a manija
- b) que te sobra potencia por todos lados.

Vamos a tratar de ajustar esto un poco más. La idea es que el roaming entre APs vaya como un tiro. Realiza los siguientes cambios:

- Todos los AP's, salvo el del almacén y el AP6: potencia de 10dBm en 2,4 GHz y 17dBM en 5GHz
- AP6 - Directamente apágale la wifi de 2,4GHz, que sólo entregue la de 5GHz (comenta la regla de provisioning y vuelve a provisionar el AP desde la pestaña "Remote CAP"). Para la wifi de 5GHz, ponle una potencia de 14dBm. Si vemos que en la primera planta aún el roaming no es fluído, bajaremos aún más la potencia en 5GHz de ese AP, por ejemplo dejando los APs de los extemos en 14dBm, y bajando el central a 10dBM (hablando siempre de la wifi de 5GHz).
- De momento y mientras duran las pruebas, comenta todas las reglas que tengas en el access list.

Prueba y me dices resultados. Esto ya va cogiendo su forma natural. Habéis sobre-saturado las estancias de APs, pero es casi mejor, porque puedes jugar con potencias muy pequeñas.

Saludos!

harsxhe · 23 Junio 2022

Vale, con esto que muestras, yo concluyo dos cosas:
- a) que el problema más gordo venía de ocupar 40MHz con la red de 2,4GHz, amén de tener los data rates tocados a manija
- b) que te sobra potencia por todos lados.

Vamos a tratar de ajustar esto un poco más. La idea es que el roaming entre APs vaya como un tiro. Realiza los siguientes cambios:

Perfecto, entonces el roaming directamente lo forzaremos con las potencias y listo, sin necesidad de luego "forzarlo" mediante el Access-list entiendo.

El access-list ya está "limpio", las únicas reglas que hay, son de las MACs de los dispositivos para que puedan acceder a la WiFi.

- Todos los AP's, salvo el del almacén y el AP6: potencia de 10dBm en 2,4 GHz y 17dBM en 5GHz
- AP6 - Directamente apágale la wifi de 2,4GHz, que sólo entregue la de 5GHz (comenta la regla de provisioning y vuelve a provisionar el AP desde la pestaña "Remote CAP"). Para la wifi de 5GHz, ponle una potencia de 14dBm. Si vemos que en la primera planta aún el roaming no es fluído, bajaremos aún más la potencia en 5GHz de ese AP, por ejemplo dejando los APs de los extemos en 14dBm, y bajando el central a 10dBM (hablando siempre de la wifi de 5GHz).
- De momento y mientras duran las pruebas, comenta todas las reglas que tengas en el access list.

Vale, con respecto a lo que comentas, entiendo entonces que esto quedaría así. También comentar que en 5GHz solo podemos usar el Canal 36 y el 44 (a 40Mhz ambos) , o si vamos de 20 en 20 pues serían el doble de canales (entiendo que esa vía no sería el ideal).

Esto no es por gusto, pero no es que podamos hacer otra cosa (el canal 52 está utilizado por un radar y cuando lo detecta Mikrotik se desactiva automáticamente)

Por lo que, la configuración se nos va a quedar así:

2.4 GHz:

Planta baja
AP 1 - canal 1 - 10dBm
AP 4 - canal 11 - 10dBm
AP 5 (almacén) - canal 6 - 17dBm (no afecta a los demás APs)

Primera planta
AP 3 - canal 6 - 10dBm
AP 6 - Apagado, no emite 2.4GHz
AP 2 - canal 1 - 7dBm

5GHz: (entiendo que lo vamos a dejar en dos canales de 40MHz)

Planta baja
AP 1 - canal 36 - 17dBm
AP 4 - canal 44 - 17dBm
AP 5 (almacén) - canal 44 - dBm por defecto, no afecta a los demás APs

Primera planta
AP 3 - canal 44 - 17dBm -> Si roaming no fluido, 14dBm
AP 6 - canal 44 - 14dBm -> Si roaming no fluido, 10dBm
AP 2 - canal 36 - 17dBm -> Si roaming no fluido, 14dBm

Estas pruebas ya las he de realizar el lunes, por lo que no puedo comentar los resultados hasta ese día jejeje

Nada, como siempre, muchas gracias por la ayuda e información

Un saludo.

pokoyo · 23 Junio 2022

harsxhe dijo:
Perfecto, entonces el roaming directamente lo forzaremos con las potencias y listo, sin necesidad de luego "forzarlo" mediante el Access-list entiendo.

El access-list ya está "limpio", las únicas reglas que hay, son de las MACs de los dispositivos para que puedan acceder a la WiFi.

Yo no filtraría MACs en el address list. Teniendo EAP y autenticación radius, creo que es innecesario. Pero, si las tenéis, aseguraos de que no estorban para temas de potencia. Se puede dar un empujoncito adicional al roaming vía access list, pero si conseguimos hacerlo simplemente bajando las potencias, eso que te ahorras.

harsxhe dijo:
Vale, con respecto a lo que comentas, entiendo entonces que esto quedaría así. También comentar que en 5GHz solo podemos usar el Canal 36 y el 44 (a 40Mhz ambos) , o si vamos de 20 en 20 pues serían el doble de canales (entiendo que esa vía no sería el ideal).

Esto no es por gusto, pero no es que podamos hacer otra cosa (el canal 52 está utilizado por un radar y cuando lo detecta Mikrotik se desactiva automáticamente)

36 y 44 levantan de golpe con un ancho de canal de 40MHz (Ce, tal y como lo tienes configurado), porque son canales NO dfs. En los dfs, primero escaneas en busca de radares y, si detectas alguno, el AP deja de emitir en dicha frecuencia. Pero eso no quiere decir que tengas que evitar usar canales DFS, simplemente que te tienes que asegurar de que, por planta, hay al menos un AP que no trabaje en DFS.
Sigue usando el canal 36 y 44 con 40MHz de ancho de canal, y si el 52 te da problemas, pasa a usar el 60 y del 100 en adelante. Si caes en la frecuencia 5600 - 5650, (frecuencia compartida con radares helicoidales de tipo meteorológico), el AP no escaneará la frecuencia durante 1 minuto, sino durante 10 (esos radares tardan bastante en completar un ciclo). Si vives cerca de un aeropuerto u otra instalación donde suelan usar ese tipo de radares, evita esa frecuencia (canales 120 - 12

.

harsxhe dijo:
Primera planta
AP 3 - canal 44 - 17dBm -> Si roaming no fluido, 14dBm
AP 6 - canal 44 - 14dBm -> Si roaming no fluido, 10dBm
AP 2 - canal 36 - 17dBm -> Si roaming no fluido, 14dBm

Usa canales DFS para uno de los APs, no repitas el canal 44. Por ejemplo, configura el AP3 en el canal 100 (frecuencia 5500)

Saludos!

harsxhe · 24 Junio 2022

Yo no filtraría MACs en el address list. Teniendo EAP y autenticación radius, creo que es innecesario. Pero, si las tenéis, aseguraos de que no estorban para temas de potencia. Se puede dar un empujoncito adicional al roaming vía access list, pero si conseguimos hacerlo simplemente bajando las potencias, eso que te ahorras.

Lo hacemos como medida adicional de seguridad, ya que siempre hay la posibilidad de que las claves del usuario que se autentica por RADIUS se filtren o alguien acceda a ellas. Así también lo dejamos más delimitado el acceso por esta vía jeje

Lo que comentas del roaming, a ver como se comporta el lunes con las potencias ajustadas y lo vemos, ya que algunas pruebas con el "Signal Range" he hecho, y es bastante rotundo (cliente fuera de los rangos = se le echa del AP).

36 y 44 levantan de golpe con un ancho de canal de 40MHz (Ce, tal y como lo tienes configurado), porque son canales NO dfs. En los dfs, primero escaneas en busca de radares y, si detectas alguno, el AP deja de emitir en dicha frecuencia. Pero eso no quiere decir que tengas que evitar usar canales DFS, simplemente que te tienes que asegurar de que, por planta, hay al menos un AP que no trabaje en DFS.
Sigue usando el canal 36 y 44 con 40MHz de ancho de canal, y si el 52 te da problemas, pasa a usar el 60 y del 100 en adelante. Si caes en la frecuencia 5600 - 5650, (frecuencia compartida con radares helicoidales de tipo meteorológico), el AP no escaneará la frecuencia durante 1 minuto, sino durante 10 (esos radares tardan bastante en completar un ciclo). Si vives cerca de un aeropuerto u otra instalación donde suelan usar ese tipo de radares, evita esa frecuencia (canales 120 - 12.

Exacto, la operatividad de cómo funciona DFS la conozco. La problemática es la ubicación en la que nos encontramos, que es muy posible que la gran mayoría de canales DFS esté utilizado por esto que comentas (estamos a <1km de una base aérea militar jajajaja) aunque puedo ir haciendo pruebas a ver qué canal DFS no está utilizado por ellos, pero con dos canales que probé ya ocurrió lo que comento.

Usa canales DFS para uno de los APs, no repitas el canal 44. Por ejemplo, configura el AP3 en el canal 100 (frecuencia 5500)

Lo que comento, intentaré a ver si no está utilizado por algún radar, pero tampoco le doy muchas esperanzas a que no esté utilizado

Saludos!

pokoyo · 24 Junio 2022

harsxhe dijo:
Lo hacemos como medida adicional de seguridad, ya que siempre hay la posibilidad de que las claves del usuario que se autentica por RADIUS se filtren o alguien acceda a ellas. Así también lo dejamos más delimitado el acceso por esta vía jeje

Teniendo Radius, me movería a authenticar por certificados. Y te quitas de un plumazo las reglas de tipo acceso por MAC ni si quiera las passwords.

Suerte con el DFS. Si ves que no hay manera, otra opción es restringir a 20MHz el ancho de canal (sin extensiones, como en 2,4) y así ganas más canales No DFS. Vas a tener menos velocidad, pero te aseguras que la wifi de 5GHz esté siempre disponible.

Saludos!

harsxhe · 28 Junio 2022

Teniendo Radius, me movería a authenticar por certificados. Y te quitas de un plumazo las reglas de tipo acceso por MAC ni si quiera las passwords.

Exacto, esto en el futuro lo dejaré implementado, ya que nos van a hacer falta los certificados para temas de la VPN, y así aprovecharé y lo montaré con la WiFi.

Suerte con el DFS. Si ves que no hay manera, otra opción es restringir a 20MHz el ancho de canal (sin extensiones, como en 2,4) y así ganas más canales No DFS. Vas a tener menos velocidad, pero te aseguras que la wifi de 5GHz esté siempre disponible.

Al final de momento lo dejé en el Canal 100 y de momento no ha detectado ningún radar, así que todo será ir viendo qué canales puedo aprovechar jeje

Algo que quería comentar con el tema del roaming y de las potencias (mediante el parámetro de Tx Power), o no comprendo qué hace esta opción o algo no me está funcionando. Me explico:

- Como vimos que había demasiada "potencia", configuré los Canales 2.4GHz y 5GHz con menos potencia, creando nuevas configuraciones en lo que único que cambiaba era el parámetro de "Tx Power", bajándoles más los valores de 3 en 3, para que la potencia se reduzca y el roaming sea más "natural".

- Lo que he visto, es, que aún configurando los canales 2.4GHz y 5GHz con menos dBm tanto la "Rx Signal" de los dispositivos, como el roaming es idéntico, independientemente de la potencia que asigne en la pestaña de "Tx Power", parece que emite a la misma potencia (por lo que veo en la Registration Table)

- Incluso, con un AP con el que puedo hacer pruebas, le puse valores de "Tx Power" en valores como 3, 0 o incluso negativos, y aún así la señal que emiten son igual de potentes.

- Obviamente tras asignarle la nueva configuración al AP, lo he "aprovisionado" e incluso reiniciado los APs. Además, si accedo al AP, se ve que en la pestaña de "Wireless", que efectivamente está emitiendo a menos dBm, pero la señal es igual de potente.

¿Estoy haciendo algo mal? Realmente lo único que queda de esta parte es bajarle la potencia a los APs (para evitar la saturación y mejorar el roaming), pero no veo que se aplique correctamente..

Además, mirando en la documentación de Mikrotik, lo que se configura en CAPsMAN->Configurations tiene prioridad frente a otras pestañas que tuviesen este parámetro configurado (que no lo tienen).

Adjunto captura de la configuración y la exportación de lo que hay configurado en Configurations y Channel.

Código:

/caps-man configuration
add channel="Canal 6 - 2437 MHz" channel.tx-power=17 country=spain datapath=\
    Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 6 2.4GHz 17dBm" security=Radius ssid="Polivini Red"
add channel="Canal 1 - 2412 Mhz " channel.tx-power=17 country=spain datapath=\
    Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 1 2.4GHz 17dBm" security=Radius ssid="Polivini Red"
add channel="Canal 11 - 2412 Mhz " channel.tx-power=17 country=spain \
    datapath=Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 11 2.4GHz 17dBm" security=Radius ssid="Polivini Red"
add channel="Canal 36 - 5180 MHz" country=spain datapath=Polivini-red \
    installation=indoor mode=ap name="Polivini Red - Canal 36 5GHz" security=\
    Radius ssid="Polivini Red"
add channel="Canal 44 - 5220 MHz" channel.tx-power=10 country=spain datapath=\
    Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 44 5GHz 10dBm" security=Radius ssid="Polivini Red"
add country=spain datapath=Polivini-terminal installation=indoor mode=ap name=\
    "Polivini Terminal - Slave" security=Radius ssid="Polivini Terminal"
add channel="Canal 1 - 2412 Mhz " channel.tx-power=14 country=spain datapath=\
    Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 1 2.4GHz 14dBm" security=Radius ssid="Polivini Red"
add channel="Canal 6 - 2437 MHz" channel.tx-power=14 country=spain datapath=\
    Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 6 2.4GHz 14dBm" security=Radius ssid="Polivini Red"
add channel="Canal 11 - 2412 Mhz " channel.tx-power=14 country=spain \
    datapath=Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 11 2.4GHz 14dBm" security=Radius ssid="Polivini Red"
add channel="Canal 1 - 2412 Mhz " channel.tx-power=10 country=spain datapath=\
    Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 1 2.4GHz 10dBm" security=Radius ssid="Polivini Red"
add channel="Canal 6 - 2437 MHz" channel.tx-power=10 country=spain datapath=\
    Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 6 2.4GHz 10dBm" security=Radius ssid="Polivini Red"
add channel="Canal 11 - 2412 Mhz " channel.tx-power=10 country=spain \
    datapath=Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 11 2.4GHz 10dBm" security=Radius ssid="Polivini Red"
add channel="Canal 44 - 5220 MHz" country=spain datapath=Polivini-red \
    installation=indoor mode=ap name="Polivini Red - Canal 44 5GHz" security=\
    Radius ssid="Polivini Red"
add channel="Canal 36 - 5180 MHz" channel.tx-power=10 country=spain datapath=\
    Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 36 5GHz 10dBm" security=Radius ssid="Polivini Red"
add channel="Canal 1 - 2412 Mhz " channel.tx-power=7 country=spain datapath=\
    Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 1 2.4GHz 7dBm" security=Radius ssid="Polivini Red"
add channel="Canal 6 - 2437 MHz" channel.tx-power=7 country=spain datapath=\
    Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 6 2.4GHz 7dBm" security=Radius ssid="Polivini Red"
add channel="Canal 11 - 2412 Mhz " channel.tx-power=7 country=spain datapath=\
    Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 11 2.4GHz 7dBm" security=Radius ssid="Polivini Red"
add channel="Canal 36 - 5180 MHz" channel.tx-power=17 country=spain datapath=\
    Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 36 5GHz 17dBm" security=Radius ssid="Polivini Red"
add channel="Canal 44 - 5220 MHz" channel.tx-power=17 country=spain datapath=\
    Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 44 5GHz 17dBm" security=Radius ssid="Polivini Red"
add channel="Canal 44 - 5220 MHz" channel.tx-power=14 country=spain datapath=\
    Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 44 5GHz 14dBm" security=Radius ssid="Polivini Red"
add channel="Canal 36 - 5180 MHz" channel.tx-power=14 country=spain datapath=\
    Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 36 5GHz 14dBm" security=Radius ssid="Polivini Red"
add channel="Canal 44 - 5220 MHz" channel.tx-power=7 country=spain datapath=\
    Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 44 5GHz 7dBm" security=Radius ssid="Polivini Red"
add channel="Canal 36 - 5180 MHz" channel.tx-power=7 country=spain datapath=\
    Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 36 5GHz 7dBm" security=Radius ssid="Polivini Red"
add channel="Canal 100 - 5500 MHz" country=spain datapath=Polivini-red \
    installation=indoor mode=ap name="Polivini Red - Canal 100 5GHz" security=\
    Radius ssid="Polivini Red"
add channel="Canal 100 - 5500 MHz" channel.tx-power=17 country=spain \
    datapath=Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 100 5GHz 17dBm" security=Radius ssid="Polivini Red"
add channel="Canal 44 - 5220 MHz" channel.tx-power=4 country=spain datapath=\
    Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 44 5GHz 4dBm" security=Radius ssid="Polivini Red"
add channel="Canal 44 - 5220 MHz" channel.tx-power=1 country=spain datapath=\
    Polivini-red installation=indoor mode=ap name=\
    "Polivini Red - Canal 44 5GHz 1dBm" security=Radius ssid="Polivini Red"
/caps-man channel
add band=2ghz-g/n comment="2,4 GHz" control-channel-width=20mhz \
    extension-channel=disabled frequency=2437 name="Canal 6 - 2437 MHz"
add band=5ghz-n/ac comment="5 GHz" control-channel-width=20mhz \
    extension-channel=Ce frequency=5180 name="Canal 36 - 5180 MHz"
add band=2ghz-g/n comment="2,4 GHz" control-channel-width=20mhz \
    extension-channel=disabled frequency=2412 name="Canal 1 - 2412 Mhz "
add band=2ghz-g/n comment="2,4 GHz" control-channel-width=20mhz \
    extension-channel=disabled frequency=2462 name="Canal 11 - 2412 Mhz "
add band=5ghz-n/ac comment="5 GHz" control-channel-width=20mhz \
    extension-channel=Ce frequency=5220 name="Canal 44 - 5220 MHz"
add band=5ghz-n/ac comment="5 GHz" control-channel-width=20mhz \
    extension-channel=Ce frequency=5500 name="Canal 100 - 5500 MHz"

pokoyo · 28 Junio 2022

Para ver la potencia real que le estás indicando al cAP, ve a la interfaz dinámica que se crea en la primera pestaña de CAP Interface. Doble click, y navegas a la pestaña status:

Eso ha de machear con lo que tú le pones en la configuración para ese AP y esa config concreta:

Si lo tienes así, el cAP está emitiendo justo a esa potencia. Entonces, ¿por qué no ves lo mismo cuando vas directo al cAP? Pues porque en el cAP hace falta restarle a esa potencia que tú quieres, la ganancia de la antena. Es decir, si yo quiero que el chisme emita a 15dBm y el cAP que estoy usando es un hAP-ac3 (mi caso, tú busca las caracgterísiticas del tuyo en la web de la marca), veré que tiene una ganancia de 3dBm en sus antenas. Lo cual quiere decir que, para que el chisme acabe emitiendo a 15dBm, la tarjeta inalámbrica del cAP en sí ha de emitir a 12dBm + 3dBm de ganancia de la antena. Eso es lo que ves en el propio cAP:

Es decir, la potencia indicada en capsman -3dBm para 2,4GHz y -6dBm para 5GHz. Estos datos, coinciden con la ganancia de las antenas de mi equipo (redondean siempre hacia arriba, ganancia = 5,5dBm -> la consideran 6dBm)

Así que, cuando configures los APs vía CAPsMAN, fíate de lo que te diga el manager en el campo "Status" de la interfaz provisionada, no en lo que veas en el cAP. Y ojo con bajarlo demasiado, tal que la resta de lo que tú pides menos la ganancia de la antena se acerque a 0, porque no sé qué tal se va a comportar en ese caso.

Para tu referencia decirte que tu modelo de AP tiene una ganancia de 6dBm para cada banda. Quiere decir que lo que verás en el cAP será lo que pongas en CAPsMAN -6. Así que, si tienes un tx power = 7, verás un 1 en el cAP, que es justo lo que ves. Es decir, funciona como debe.

Saludos!

Servicio CAPsMAN - Velocidad de internet nula en APs (1mbps..)

Usuari@ ADSLzone

Adjuntos

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Adjuntos

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Adjuntos

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Adjuntos

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Adjuntos

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Adjuntos

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Adjuntos

Moderador ADSLZone - Mikrotik ★★★★★

Similar threads