qrz.is/content/post/mikrotik-capsman-setup.md
Michael Clemens e6adda7935 added new blog post
added tags to all posts
2021-07-22 14:19:42 +02:00

4.2 KiB

title type author date url tags draft
MikroTik: Zentrales WiFi-Management mit CAPsMAN post micha 2018-12-31T16:00:11+02:00 /mikrotik-capsman-setup/
Ham Radio
WiFi
CAPsMAN
false

Einführung

Folgend wird beschrieben, wie man mit CAPsMAN beliebig viele Wireless Access Points verwaltet und dynamisch provisioniert. Zielsetzung ist die folgende:

  • Zentrale Verwaltung aller APs im Haus (zunächst 3 APs, weitere sollen jederzeit ohne Aufwand hinzugefügt werden können)
  • 2 SSIDs, je eine SSID für 2,4 GHz und eine für 5 GHz
  • Jeder AP soll die gleiche Konfiguration erhalten
  • Umgebung soll beliebig erweiterbar sein, z.B. weitere SSID mit eigenem VLAN

Vorbedingungen

  • MikroTik RouterBoard mit installiertem "wireless" Package, z.B. ein MikroTik hEX
  • 1-n MikroTik Wireless Access Points, z.B. wAP AC

CAPsMAN konfigurieren

Channels

Zu Beginn definieren wir zwei Channels:

/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2437 name="2.4 GHz"
add band=5ghz-n/ac name="5 GHz"

Hierbei ist folgendes zu beachten:

  • 2.4 GHz WLANs sollten idealerweise die Kanäle 1, 6 oder 11 nutzen. CAPsMAN verlangt die Angabe der jeweiligen Trägerfrequenz, diese kann hier nachgeschaut werden (hier 2437 MHz = Kanal 6).
  • Bei einem Frequenzbereich von 2.4 GHz ist eine Kanalbreite von 20 MHz ideal
  • Auf 802.11g sollte man unbedingt verzichten, da dies die Gesamtgeschwindigkeit reduziert und sowieso keine g-Clients zu erwarten sein sollten.

Security Configurations

In meiner Umgebung verwende ich das gleiche Passwort für beide SSIDs:

/caps-man security
add authentication-types=wpa2-psk disable-pmkid=yes encryption=aes-ccm group-encryption=aes-ccm group-key-update=1h name="Wifi Security Settings" passphrase=GeheimesPasswort

Hierbei ist folgendes zu beachten:

  • Auf WPA kann man in den meisten fällen verzichten, WPA2 ist immer zu bevorzugen
  • Mit "disable-pmkid=yes" mitigiert man die Schwachstelle CVE-2018-3580

Datapaths

Hier gibt es kaum etwas zu beachten, gegebenenfalls muss anstelle von "bridge1" der Name der Bridge angegeben werden, die auf dem Router definiert wurde:

/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name=BridgeDP

Configurations

Die bisher definierten Einstellungen werden nun in zwei übergeordneten Konfigurationen eingesetzt. Diese Konfigurationen werden in einem späteren Schritt verwendet, um die APs zu provisionieren:

/caps-man configuration
add channel="2.4 GHz" country=germany datapath=BridgeDP installation=indoor name="2.4 GHz" security="Wifi Security Settings" ssid="Mein WLAN (2.4 GHz)"
add channel="5 GHz" country=germany datapath=BridgeDP name="5 GHz" security="Wifi Security Settings" ssid="Mein WLAN (5 Ghz)"

Provisioning

Folgende Einstellungen sorgen dafür, dass jeder AP vollständig dynamisch provisioniert wird:

/caps-man provisioning
add action=create-enabled hw-supported-modes=g master-configuration="2.4 GHz" name-format=prefix-identity name-prefix=2.4GHz
add action=create-enabled hw-supported-modes=ac master-configuration="5 GHz" name-format=prefix-identity name-prefix=5GHz

Über den Parameter "hw-supported-modes" wird gesteuert, dass Interfaces, die "g" unterstützen (und es sich somit um 2.4 GHz Interfaces handelt), die Konfiguration "2.4 GHz" erhalten. 5 GHz Interfaces, welche "ac" unterstützen, erhalten wiederum die Konfiguration mit dem Namen "5 GHz".

Manager

Schlussendlich aktivieren wir den Manager mit

/caps-man manager
set enabled=yes

Inbetriebnahme

Zu beachten ist, dass man keine CAP Interfaces anlegen muss - dies geschieht vollautomatisch. Jetzt können die neuen APs hinzugefügt werden:

  • Während des Einschaltens 10 Sekunden lang Reset gedrückt halten bis die "AP/CAP"-LED anfängt zu blinken (von Modell abhängig)
  • Nach einer Weile erscheinen dann pro AP zwei CAP Interfaces mit dem Namensmuster "2.4GHz-MikroTik-1" bzw. "5GHz-MikroTik-1"
  • Fertig!

Sinnvolle ToDos:

  • Alle APs aktualiseren (Packages + Firmware)
  • Jedem AP ein Passwort vergeben
  • Jedem AP eine Identity geben, z.B. "AP EG", "AP OG" und "AP Büro" statt "MikroTik"