Mikrotik egy AP-vel

Hálózatok egyéb

Sziasztok!

Egy kezdő kérdést szeretnék feltenni: Egy ilyen Mikrotik routerem van otthon: RB962UiGS-5HacT2HnT, van rajta egy 2Ghz-es, egy 5Ghz-es WIFI az otthoni eszközöknek, és egy 2 Ghz-es vendég WIFI.

Vettem egy AP-t: RouterBOARD cAP Lite 2nD.

A kérdés: Azt szeretném, hogy a fő router-en megmaradjon a WIFI + szeretném felszerelni az access point-ot, hogy ott is jó legyen a WIFI jel, ahol eddig rossz volt.

A CAPsMANAGER kell nekem ehhez, vagy elég, ha az access point-on beállítgatok mindent (a router mintájára), SSID-t, jelszót, stb...?

Ha kell a CAPsMANAGER, akkor a router-en lévő WIFI konfigot át kell oda tennem valahogy?

Köszönöm
Dávid

( cala | 2018. 02. 20., k – 15:45 )

Elegánsabb és javasolt megoldás a CAPsMAN lenne, a közös ssid-t én gányolásnak tartom. A CAPsMAN -ról találsz a neten akár magyar nyelvű szájbarágós leírást is.

( denke v | 2018. 02. 20., k – 23:40 )

Valoban szebb megoldas a capsman, de tokeletesen mukodni fog kozos essidvel es megegyezo jelszoval is a dolog.

Ha valamelyik eszkoznek nem eleg jo a drivere, akkor elkepzelheto hogy fennmarad a "tavolabbik" ap-n is, annak ellenere hogy tragikus a jelminoseg es ezert a sebesseg is. Ez sajnos viszonylag sokszor elofordul.

Ebben az esetben meg tudsz adni a mikrotiknek egy ACL-t hogy bizonyos jelszint alatt (mondjuk -73 dBm, de ez erosen fugg a felhasznalasi kornyezettol is) dobja le a klienst, es ezzel kenyszeritse a masik eszkozhoz valo csatlakozasra.

A megoldas hatranya az hogy "borderline" esetekben amikor minden eszkoztol tavol vagy, es billeg hogy itt most meg eppen jo / mar pont nem jo, na akkor tutira nem lesz jo, mert ledobja a router.

Köszi szépen. A CAPsMAN-os irányba mentem el, sikerült beállítanom a CAPsMAN-ban Router Wifi-jét, és az AP Wifi-jét is. A Router Wifi-vel voltam elakadva, de megtaláltam végül, hogy fel kell venni a tűzfalba az 5246,5247-es UDP portokat, és a CAPsMAN address-nek 127.0.0.1-et kellett beállítani.

Nem tökéletes, mert most disabled-be tettem a routeren az 5 Ghz-es WIFI-t, és a 2.4 Ghz-est vettem fel a CAPsMAN-ba. Az 5 Ghz-est is jó lett volna felvenni, de csak az egyik WLAN interfészt engedi kiválasztani. Az AP 2.4 Ghz-es.

Még nem sikerült rájönnöm hogy miért, de nem lett gyors a WIFI, 30Mbit/sec letöltést kellene hoznia, de 4-5 Mbit/sec a letöltés, a feltöltés 6 Mbit/sec (az ennyi lehet max), a speedtest.net-el mérve. A CAPsMAN-ban a channel-nél a frequency-hez nem írtam semmit, a Control Channel Width: 20Mhz, Band: 2ghz/b/n/g, Extension channel: nem írtam semmit.

Van esetleg valakinek ötlete a sebességgel kapcsolatban? Köszönöm

Lehet koze, fogj egy wifi analyzer appot a telefonra es nezd meg hogy mely savok tisztak, hova tudod tenni az eszkozt.
Emellett erdemes a modot b/g/n rol siman g/n re tenni, mert ha egy eszkoz B vel csatlakozik, akkor az az egesz halozatot baromira lelassitja.

Erdemesebb a mikrotik btest megoldast hasznalnod, mert ugy nem az ISP -t mered hanem a sajat halozatodat

Nezd at a channel hasznalatot egy mobilos wifi analyzerrel, allitsd at a radiot g/n 20Mhz csatornara, es hasznald a mikrotik btest programot a meresre!

Ez a problema 5ghz en is megvan, vagy csak 2.4 en?

Masik gepen / telefonon is ennyi?

Milyen jelszinteket mer a mikrotik az adott kliensre?

Igen, 5 GHz-en is megvan. Közben megnéztem egy notebook-al, azzal hozta a 30/6-ot (de megnézem btest-el, mert szerintem többet nem hozna). Egy desktop gépbe dugott WIFI adapterrel próbáltam a btest-et, hasonló volt az eredmény. Az overal tx ccq-t találtam meg, az 84-90% között ugrál, a noise floow -101 dBm. 5 Ghz-en az overal tx ccq 99%, a noise floor -103 dBm. A csatornákhoz 20 dBm-et írt a mikrotik, és 23 dBm-et (ha ezt jó helyről néztem). köszi.

Nekem 5 ghz-en 40 mhz channelen ~140 megabit felfele es >200 lefele. Az eszkozom egy wap ac, a wifi kartya Intel Wireless 8260, kb 7-8 meterre vagyok a routertol, optikai ralatassal.

De ezzel az eszkozzel mas gepeken is, irodai kornyezetben, optikai ralatas nelkul is sikerult hasonlo sebessegeket produkalni mar, szinte barmin atmegy, csak az uveget gyuloli nagyon a nehezfem szennyezes miatt.

A jelszintet a wireless -> registration ful alatt tudod megnezni, es olyan -30 es -80 dBm ertekek kozott tud lenni mind a le mind a fel irany. Gyakorlatban -45 es -70 kozott szokott lenni. A noise floor a -101 dBm el teljesen jo.

Valami nagyon nem kerek nalad ha ilyen gyer eredmenyeket kapsz!

( hg2ebh | 2018. 02. 23., p – 13:24 )

Kábé ennyi a történet:

Az RB962-n ez kell:
/caps-man channel
add band=2ghz-g/n extension-channel=Ce name=channel1 tx-power=20
# feltételezzük, hogy bridge1 a LAN iface-ed
/caps-man datapath
add bridge=bridge1 name=datapath1
# wifi jelszó és alapkonfig
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=security-jelszavam passphrase=jelszavam
/caps-man configuration
add channel=channel1 country=hungary datapath=datapath1 datapath.local-forwarding=no max-sta-count=30 mode=ap name=cfg-sajatkonfig security=security-jelszavam ssid=sajat-ssid
# alap jelszint kritériumok, -80dBm-nél jobb jelszintet engedünk be
/caps-man access-list
add action=accept comment=ismeretlen disabled=no interface=all signal-range=-80..0 ssid-regexp=""
add action=reject disabled=no interface=all ssid-regexp=""
# bekapcsoljuk a CAP managert
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes
# felvesszük a vezérlendő WLAN iface-eket, a MAC cím helyére az adott WLAN iface mac címe kell!
/caps-man provisioning
add action=create-dynamic-enabled comment=RB962_wlan1 master-configuration=cfg-sajatkonfig name-format=prefix-identity name-prefix=cap radio-mac=00:11:22:33:44:55
add action=create-dynamic-enabled comment=cAP_wlan1 master-configuration=cfg-sajatkonfig name-format=prefix-identity name-prefix=cap radio-mac=00:11:22:33:44:55
# bekapcsoljuk a wlan1 iface-nek a CAP vezérlést
/interface wireless cap
set caps-man-addresses=127.0.0.1 certificate=request enabled=yes interfaces=wlan1

A cAP-lite-2nD-n meg csak ez kell, a caps-man-addresses-hez az RB962 lan IP címét írd:
/interface wireless cap
set caps-man-addresses=192.168.x.x certificate=request enabled=yes interfaces=wlan1

Jó szórakozást ;)

Köszönöm, ez alapján finomítom a beállításokat. pl: tx-power, access-list, provisioning: ezekhez nem nyúltam. A tx-power átállításához nem kell a tx-power-mode-ot is átállítani? (illetve mennyire kell a tx-power beállítással óvatosan bánni, erre írták, hogy túlmelegedhet az ic, és megég?)

A txpowerhez ket esetben kell nyulnod:
-Olyan helyre szolgaltatsz ahol nagyon sok kliens van (es csak 2.4ghz johet szoba) ezert leteszel sok AP-t, es hogy minel kevesbe zavarjak egymast, csokkented a teljesitmenyuket.
-Olyan helyre szolgaltatsz ahol keves a kliens, de nagy teruleten vannak elszorva, ezert !!a hatosaggal egyeztetve!! nagy teljesitmenyen szorsz, es olyan eszkozod van, ami ezt biztosan, hosszutavon ki is birja! Ha egy standard mikrotik eszkozt (vagy mas nem ipari keszuleket) csutkara hajtasz, akkor a vegfok par honap alatt nagy valoszinuseggel megadja magat!

Mivel a teljesitmeny a tavolsag novelesevel logaritmikusan csokken, ezert a radio kimeno teljesitmenyenek minden duplazasaval egysegnyi tavolsagot nyersz csak:

10 dBm : 10 mW -> hasrautok 15m
13 dBm : 20 mW -> 20m
...
28 dBm : 640 mW -> 45m

tehat a teljesitmenyed 64* esere nott, (ennek mar nem szivesen lennek a kozeleben!) a hatotav pedig csak 3* osa lett. Illetve ne feledd hogy ez csak a router -> kliens irany ... a kliens pedig biztosan nem fog ekkora teljesotmennyel szorni, tehat a router veteli erzekenysege is erosen korlatoz!

Osszessegeben en a txpowert max lefele tekernem ha nagyon allitani akarok valamit, felfele semmikeppen!

( dlaszlo | 2018. 02. 23., p – 21:52 )

Köszönöm mindenkinek a segítséget, megoldódott a probléma.

Jelenleg a WIFI sebesség 5 GHz-en AC-n 150-200 Mbit/s, 2.4 GHz-en 30-40 Mbit/s.

A probléma a következő volt:

A CAPsMAN volt rosszul konfigurálva:
1. Első körben a security alatt felvettem a bejelentkező adatokat.
2. A configurations alatt felvettem két config-ot, egyet a 2.4 Ghz-re, és egyet az 5 GHz-re.
Megadtam a configokban az SSID-t, distance: indoors, country: hungary beállításokkal + beállítottam itt a security profile-t.
+ a channels alatt a Bands + controll channel with beállításokat. (az 2.4 Ghz-es, és az 5 Ghz-es config-ban is)
3. Engedélyeztem a CAPsMAN-t (certificate: auto opcióval), és a Wireless interfészeknél is bekapcsoltam a CAP-ot (certificate: request opciókkal)
4. A létrejövő CAP1, CAP2, CAP3 interfészeknél beállítottam a frekvenciát (itt a capsman alatt lehetett módosítani az interfészeket)
5. A bride alá kézzel felvettem a CAP1, CAP2, CAP3 interfészeket.

Na ez volt a hibás konfig, amivel a sebesség problémák voltak.

Javítás (hg2ebh: köszönöm a példa config-ot):

1. Kikapcsoltam a CAPsMAN-t (a manager-nél, és a Wireless interfészeknél is), és töröltem a certificate-eket + a bridge alól a kézzel felvett portokat.
2. Felvettem a három channel beállítást, megadtam a frekvenciát, band-ot, és a controll channel with opciókat.
3. Létrehoztam egy datapath-ot, és megadtam a bridge beállítást (Ez javította meg amúgy, ez volt a probléma)
4. Létrehoztam három config-ot, a három channel beállítással + az egyéb WIFI beállításokkal.
5. Létrehoztam három provisioning beállítást a három AP-nek, mindegyiket a saját config-jával.
6. Engedélyeztem a CAPsMAN-t, + a Wireless interfészeknél is bekapcsoltam. (A CAP interfészeket nem tudom módosítani, de nem is akarom.)

Sebességmérés: btest-el desktop-ról, illetve ezzel mobilról: https://play.google.com/store/apps/details?id=com.pzolee.android.localw…
+ speedtest.net.

Most jó a sebesség, köszönöm még egyszer.

Üdv: Dávid

Még egy apróság.
Én általában PCQ alapú queue szabályt szoktam felvenni a soho routerekre, ami egyszerű, mint a faék és igazságos.
Pl. 100Mbps letöltésből 33-33-33Mbps-t ad minden kliensnek, ha egyszerre hárman akarják használni.
A queue szabályt target IP tartomány alapján állítom be. Amennyiben a LAN IP alhálón belül van a capsman vezérlő és a cap kliensek IP címe, akkor nem lesz jó a sávszél szabályozás.
Ilyenkor célszerű a LAN bridge iface-re másodlagos IP-t felvenni, pl. 192.168.0.1/24 mellé egy 192.168.1.1/24-et és a másodlagos IP tartományból adj IP címet a CAP eszközöknek, továbbá a kliensekben a 192.168.1.1-es címet állítsd be CaspMan manager-nek.

Az említett 192.168.0.0/24-es tartományra így néz ki egy 100/10Mbps PCQ sávszél korlátozás:

/queue type
add kind=pcq name=pcq_down_100M pcq-classifier=dst-address pcq-rate=100M
add kind=pcq name=pcq_up_10M pcq-classifier=src-address pcq-rate=10M
/queue simple
add max-limit=10M/100M name=100M/10M-internet queue=pcq_up_10M/pcq_down_100M target=192.168.0.0/24

Köszi, jó ötlet, de itthon nincs akkor ütközés a WIFI használatban, hogy erre figyelni kelljen. Most tree szabályokat használok (a TV + torrent párhuzamos használata miatt kezdtem el, a kettő együtt nem ment, mert akadozott a TV), ezt:

/ip firewall mangle
add action=mark-connection chain=forward new-connection-mark=IPTV passthrough=yes src-address-list=IPTV
add action=mark-connection chain=forward dst-address-list=IPTV new-connection-mark=IPTV passthrough=yes
add action=mark-packet chain=forward connection-mark=IPTV new-packet-mark=IPTV passthrough=no
add action=mark-connection chain=forward new-connection-mark=IMPORTANT passthrough=yes protocol=icmp
add action=mark-connection chain=forward dst-port=53,22,1922,23,3389 new-connection-mark=IMPORTANT passthrough=yes protocol=tcp
add action=mark-connection chain=forward dst-port=53 new-connection-mark=IMPORTANT passthrough=yes protocol=udp
add action=mark-packet chain=forward connection-mark=IMPORTANT new-packet-mark=IMPORTANT passthrough=no
add action=mark-connection chain=forward dst-port=20,21,110,995,143,993,25 new-connection-mark=DOWNLOAD passthrough=yes protocol=tcp
add action=mark-connection chain=forward connection-bytes=2000000-0 dst-port=80,443 new-connection-mark=DOWNLOAD passthrough=yes protocol=tcp
add action=mark-packet chain=forward connection-mark=DOWNLOAD new-packet-mark=DOWNLOAD passthrough=no
add action=mark-connection chain=forward dst-port=443 new-connection-mark=WEB passthrough=yes protocol=tcp
add action=mark-connection chain=forward connection-bytes=0-2000000 dst-port=80 new-connection-mark=WEB passthrough=yes protocol=tcp
add action=mark-packet chain=forward connection-mark=WEB new-packet-mark=WEB passthrough=no
add action=mark-packet chain=forward new-packet-mark=OTHER passthrough=no

/queue tree
add max-limit=30M name=DOWNLOAD parent=bridge priority=4 queue=sfq
add limit-at=7500k max-limit=30M name=IPTV_D packet-mark=IPTV parent=DOWNLOAD priority=1 queue=sfq
add max-limit=6M name=UPLOAD parent=pppoe-out1 priority=4 queue=sfq
add limit-at=500k max-limit=6M name=IPTV_U packet-mark=IPTV parent=UPLOAD priority=1 queue=sfq
add limit-at=20M max-limit=30M name=WORKSTATIONS_D parent=DOWNLOAD priority=6 queue=sfq
add limit-at=4500k max-limit=6M name=WORKSTATIONS_U parent=UPLOAD priority=6 queue=sfq
add limit-at=5M max-limit=30M name=IMPORTANT_D packet-mark=IMPORTANT parent=WORKSTATIONS_D priority=2 queue=sfq
add limit-at=2M max-limit=30M name=DOWNLOAD_D packet-mark=DOWNLOAD parent=WORKSTATIONS_D priority=4 queue=sfq
add limit-at=2M max-limit=30M name=OTHER_D packet-mark=OTHER parent=WORKSTATIONS_D priority=5 queue=sfq
add limit-at=10M max-limit=30M name=WEB_D packet-mark=WEB parent=WORKSTATIONS_D priority=3 queue=sfq
add limit-at=1M max-limit=6M name=IMPORTANT_U packet-mark=IMPORTANT parent=WORKSTATIONS_U priority=2 queue=sfq
add limit-at=1M max-limit=6M name=WEB_U packet-mark=WEB parent=WORKSTATIONS_U priority=3 queue=sfq
add limit-at=1M max-limit=6M name=DOWNLOAD_U packet-mark=DOWNLOAD parent=WORKSTATIONS_U priority=4 queue=sfq
add limit-at=1M max-limit=6M name=OTHER_U packet-mark=OTHER parent=WORKSTATIONS_U priority=5 queue=sfq

A capsman config végül ez lett:

/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz frequency=2412 name=channel1
add band=2ghz-g/n control-channel-width=20mhz frequency=2472 name=channel13
add band=5ghz-a/n/ac control-channel-width=20mhz frequency=5240 name=channel48
/caps-man datapath add bridge=bridge name=datapath1
/caps-man security add authentication-types=wpa2-psk encryption=aes-ccm name=security passphrase=***
/caps-man configuration
add channel=channel1 channel.skip-dfs-channels=no country=hungary datapath=\
datapath1 distance=indoors hide-ssid=yes mode=ap multicast-helper=default \
name=cfg2ghz_1 rates.vht-basic-mcs="" rates.vht-supported-mcs="" \
security=security ssid=***
add channel=channel48 channel.skip-dfs-channels=no country=hungary datapath=\
datapath1 distance=indoors hide-ssid=yes mode=ap multicast-helper=full \
name=cfg5ghz security=security ssid=***
add channel=channel13 channel.skip-dfs-channels=no country=hungary datapath=\
datapath1 distance=indoors hide-ssid=yes mode=ap multicast-helper=default \
name=cfg2ghz_2 rates.vht-basic-mcs="" rates.vht-supported-mcs="" \
security=security ssid=***
/caps-man access-list
add action=accept disabled=no interface=all signal-range=-80..0
add action=reject disabled=no interface=all
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes

/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg2ghz_1 name-format=\
prefix-identity name-prefix=cap radio-mac=01:02:03:04:05:06
add action=create-dynamic-enabled master-configuration=cfg2ghz_2 name-format=\
prefix-identity name-prefix=cap radio-mac=01:02:03:04:05:07
add action=create-dynamic-enabled master-configuration=cfg5ghz name-format=\
prefix-identity name-prefix=cap radio-mac=01:02:03:04:05:08

A fórumban szereplő példák alapján a hAP lite működik a 2011 wifis router capmanagerében.
A végleges megoldásodban nem találom azt, hogy saját magát hogy tegyük a managerbe.

A prohardware fórumán ezt a segítséget kaptam:

1. In Wireless > CAP > CAPsMAN Addresses: make sure you have 127.0.0.1
2. IP > Firewall > Add: create a new rule for the input "chain", set the src address as "127.0.0.1", protocol "UDP", dst ports "5246,5247", action "accept"
3. Make sure the above firewall rule comes right before the default rule whose comment is "drop all not coming from LAN"

Így sem működik, és nem tudok rájönni miért.
Te ezt hogy oldottad meg?

( virgagabi | 2018. 04. 27., p – 08:20 )

Az eszközök és a felállás ugyanaz, mint az eredeti kérdezőnél, csak én most csavarnék rajta még egyet egy "vendég" wifivel. Ez más SSID-t, más tartományból osztott IP címet és a vezetékes LAN egyéb eszközeitől elkülönített VLAN-t jelentene, míg az eredeti wifi egy VLAN-ban lenne a LAN egyéb eszközeivel.
Jól értem, hogy ebben a helyzetben a CAPSMAN nem a barátom? Mert ha vele akarom tag-elni a VLAN-okat, akkor a távoli AP-n lévő kliensek egymás közötti forgalma is át kell menjen az CAPSMAN eszközön... Szóval ilyen kevés AP-nél az igényemre szebb megoldás, ha a két Mikrotik függetlenül szórja ugyanazt az SSID-t, ugye? Vagy van, amit még érdemes mérlegelni?

Mivel most ismerkedem a dologgal, még egy elméleti kérdés: a fenti beállítások alapján nem jön át, hogy a CAPSMAN hogyan segítene egy új SSID-WPAPSK páros gyors üzembe helyezésében sok AP esetén. Egy configuration tartalmazza az SSID-t, a security-t és a channel-t is, holott az AP-knek épp eltérő channel-eket célszerű használni, nem? Vagy van módszer arra, hogy ne kelljen külön configuration például a fenti esetben mindhárom radio-hoz? Esetleg egy paranccsal lehessen ugyanazt a configuration-t az összes radio-hoz hozzárendelni?

Csak tippek, mert nincs most lehetőségem belépni a routerre:

Azt gondolom, hogy a vendég WIFI-hez is a Wireless interfészeknél tudod hozzáadni/engedélyezni a CapsMAN-t.

Azt javaslom, ha most ismerkedsz vele, akkor először csináld meg vendég WIFI nélkül. Ha jól látom fent, én channel-enként csináltam egy konfigot. Az új eszközt egy már meglévő beállításhoz provisioning alatt kell felvenni, úgy, hogy az eszközhöz tartozó radio-mac-et megadod. Kérdés, hogy itt tudsz-e channel-t megadni.