capsman-mikrotik

Tutorial Básico Mikrotik #1 – Configurar CAPsMAN

Buenas a todos, vamos a empezar una serie de artículos sobre la configuración de CAPsMAN de Mikrotik. CAPsMAN es una implementación de Mikrotik que nos permite administrar de forma centralizada puntos de acceso de la misma marca, definiendo las redes Wifi, contraseñas, y además, nos permite decidir dónde se gestiona el tráfico, si en el manager, o en el punto de acceso.

 

En el escenario del presente tutorial en Español, vamos a tener una Mikrotik que nos hace de Manager, donde se gestiona el tráfico también, y otra que haga la función de punto de acceso. Vamos a generar dos redes Wifi, una que enlace con la red local en Layer 2 (accesible a través de ether5) y otra para dar acceso a dispositivos que sólo requieran de acceso a Internet, por ejemplo.

 

La configuración de un AP para que se comunique con el Manager se puede realizar de dos formas, en capa 2 (direccionamiento MAC) o capa 3 (direccionamiento IP). Nosotros vamos a realizarlo en capa 3.

 

CONFIGURANDO EL MANAGER de CAPsMAN

Lo primero que vamos a hacer es configurar el Manager. Como hemos comentado, vamos a tener dos redes Wifi. Cuando configuramos un AP mediante CAPsMAN, se nos van a generar interfaces virtuales, que podrán ser dinámicas o estáticas, por cada interfaz generada en los APs. Necesitamos que esas interfaces pasen a formar parte de algo que las englobe, puesto que por ejemplo, serán interfaces que compartan el mismo SSID aunque formen parte de APs distintos. Para esto utilizamos bridges.

Así que lo primero que hacemos es definir los dos bridges que vamos necesitar, uno para la “LAN” y otro para “Wifi Internet”. Además, añadiremos la interfaz ether5 que enlaza con la red local al bridge de la “LAN”. Cuando se generen las interfaces CAP, configuraremos que estas interfaces que se generen se incluyan automáticamente en su respectivo bridge.

Cap Mikrotic Capsman

 

Yo soy partidario de separar el tráfico en VLANs siempre que pueda, por lo que vamos a generar una VLAN para la gestión de los APs y la comunicación entre ellos y el Manager. La interfaz sobre la que tendremos que generar la VLAN es el bridge que hemos creado, ya que ether5 es un puerto del bridge.

 

/interface vlan add interface=bridge1 name=vlan100 vlan-id=100

 

Luego añadimos una IP a la interfaz.

capsman mikrotik

 

/ip address
add address=10.10.10.1/24 interface=vlan100 network=10.10.10.0

 

Tras esto, vamos a activar que esta Mikrotik sea Manager. Nos vamos a CAPsMAN -> Interfaces -> Manager y habilitamos la opción.

capsman mikrotik español

 

/caps-man manager
set enabled=yes

Ahora pasamos al apartado importante de configuración. Lo que vamos a hacer es definir primero los perfiles de seguridad, los canales y los datapath.

CAPsMAN -> Security Cfg. En este apartado generamos los perfiles de seguridad que necesitemos. En nuestro caso vamos a generar dos, uno para cada Wifi. Por ejemplo:

capsman mikrotik tutorial

CAPsMAN -> Channels. En este apartado definimos los canales que van a utilizar nuestros puntos de acceso. Conviene recordar lo siguiente:

configurar capsman mikrotik

Lo normal, si tenemos varios puntos de acceso, y comparten un espacio físico cercano, como puede ser una oficina o una nave industrial, sería definir primero dónde vamos a poner los puntos de acceso y hacernos un mapa con su ubicación. Hecho esto, lo que haríamos sería asignar canales a estos puntos de acceso. Normalmente, y tal como vemos en la imagen, yo suelo utilizar los canales 1, 6 y 11, no se solapan entre ellos y de esta forma evitamos interferencias.

En caso de que nuestros CAP estén lejos unos de otros, podemos definir los canales que queramos, y además, habilitar el canal de extensión, que en el caso anterior no podríamos utilizar. Os muestro los dos ejemplos:

mikrotik access point

CAPsMAN -> Datapath. En este apartado definimos en qué bridge se van a integrar las interfaces CAP generadas, y además definimos la opción de Client To Client Forwarding. Esta opción define si los dispositivos conectados a la red Wifi se pueden ver entre sí. En el caso de la red que nos da acceso a LAN lo marcaremos, y en el caso de “Wifi Internet” lo dejaremos sin marcar.

 

Hasta ahora, a nivel de código hemos hecho lo siguiente:

/caps-man channel
add band=2ghz-b/g/n frequency=2412 name=channel1 width=20
add band=2ghz-b/g/n frequency=2437 name=channel6 width=20
add band=2ghz-b/g/n frequency=2462 name=channel11 width=20
add band=2ghz-b/g/n extension-channel=Ce frequency=2412 name=channel1-ext width=20
/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes name=datapath1
add bridge=bridge2 name=datapath2
/caps-man security
add authentication-types=wpa2-psk comment=Corporativa encryption=aes-ccm group-encryption=aes-ccm name=security1 passphrase=Passw0rd
add authentication-types=wpa2-psk comment=WifiInternet encryption=aes-ccm group-encryption=aes-ccm name=security2 passphrase=W0rdpass

 

Nos queda definir las configuraciones que vamos a utilizar. En nuestro caso, si lo pensamos, con un SSID “Wifi-Corporativa”, lo único que variará en los puntos de acceso será el canal. Si tenemos un SSID “Wifi-Invitados”, este va a depender de la configuración que tenga la interfaz principal (master), y no tenemos que definir canales, sólo modificar los parámetros relativos al datapath y security. Por tanto, la forma en que definiremos las configuraciones será: tres configuraciones con el canal diferente para un SSID, y una configuración para el segundo SSID.

En CAPsMAN -> Configurations, ejemplo de configuración de SSID “Wifi-Corporativa” con canal 1, en el ejemplo hay algunos parámetros tocados relativos al WiFi, si se va a utilizar la exportación, recomiendo revisar el parámetro de Max Station Count, que define cuántos dispositivos pueden conectar de forma simultánea:

Configuración para SSID “Wifi-Invitados”:

Estas serían las configuraciones:

A nivel de código, tendríamos lo siguiente:

/caps-man configuration
add channel=channel1 country=spain datapath=datapath1 distance=indoors guard-interval=any hw-protection-mode=cts-to-self hw-retries=15 max-sta-count=15 mode=ap multicast-helper=full name=\
corporativa-channel1 rx-chains=0,1,2 security=security1 ssid=Wifi-Corporativa tx-chains=0,1,2
add channel=channel6 country=spain datapath=datapath1 distance=indoors guard-interval=any hw-protection-mode=cts-to-self hw-retries=15 max-sta-count=15 mode=ap multicast-helper=full name=\
corporativa-channel6 rx-chains=0,1,2 security=security1 ssid=Wifi-Corporativa tx-chains=0,1,2
add channel=channel11 country=spain datapath=datapath1 distance=indoors guard-interval=any hw-protection-mode=cts-to-self hw-retries=15 max-sta-count=15 mode=ap multicast-helper=full name=\
corporativa-channel11 rx-chains=0,1,2 security=security1 ssid=Wifi-Corporativa tx-chains=0,1,2
add datapath=datapath2 name=invitados security=security2 ssid=Wifi-Invitados

 

Lo único que nos queda es aprovisionar las interfaces Wireless de nuestros puntos de acceso en CAPsMAN -> Provisioning, veamos un ejemplo:

Básicamente hemos puesto la MAC de la interfaz Wireless de uno de los puntos de acceso que vamos a controlar, le hemos indicado que el Action sea “create enabled”, que genera la interfaz CAP en el Manager y queda estática. Le indicamos la configuración Master, que en nuestro caso es corporativa-channel1, y además le indicamos que va a generar una interfaz virtual con la configuración invitados. El Name Format es para identificar el nombre del CAP una vez se genere en la pestaña CAPsMAN -> Interfaces. Podemos hacerlo al gusto, en el caso de identity, recogerá el valor en System -> Identity del dispositivo Mikrotik de la interfaz que estamos aprovisionando.

Ahora que ya tenemos esto hecho, falta configurar los CAP para que se comuniquen con el Manager. Como el ejemplo que estamos realizando es en capa 3, tendremos que garantizar la comunicación con el Manager. En nuestro caso, tendremos que generar la VLAN correspondiente sobre, por ejemplo ether1, que será la interfaz que utilizaremos habitualmente para alimentar nuestros CAP por PoE. Le añadimos una IP a esa VLAN y tendremos la comunicación establecida.

Hecho esto, nos vamos a Wireless -> Interfaces -> CAP y habilitamos el CAP, le indicamos la interfaz o interfaces que intervienen, y la IP del CAPsMAN:

 

/interface wireless cap
set caps-man-addresses=10.10.10.1 enabled=yes interfaces=wlan1

 

Al hacerlo, la información que vemos de la interfaz Wireless cambia:

Y además en nuestro Manager tenemos cambios:

 

Y con esto, ya tendríamos aprovisionado un punto de acceso. Como vemos es algo laborioso al principio, cuando defines todas configuraciones, sin embargo, es algo que podemos exportar de un escenario a otro, donde nos variarán los SSIDs, MACs de las interfaces, etc.

En el próximo episodio, veremos algunas cosas adicionales que os pueden venir bien en el apartado de CAPsMAN, ya que en esta publicación hemos visto lo indispensable para empezar a hacerlo funcionar.

 

 

 
0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir