Allora, intanto per un CAPsMAN fatto bene devi creare un certificato di cifratura, si può fare da terminal ma è più facile e veloce da interfaccia, va bene un self-signed interno al mikrotik.
Quindi creiamo la CA
SYSTEM -> CERTIFICATES - l'icona + (add)
Io di solito imposto la CA così
Name e Common name serviranno dopo, io li metto così, puoi cambiarli ma poi devi adattare lo script seguente
I campi descrittivi Country, State, Locality, Org e Unit sono a scelta tua, io ho scritto come li compilo generalmente
Key size di solito faccio 4K (il default 2K è poco) e Days 10 anni, non ho voglia di rinnovare tutti i certificati ogni anno :)
Nella tab KEY USAGE importante mettere come in figura
Impostato e compilato, dai OK, poi lo selezioni doppio click e scegli SIGN
Dai START e aspetti che finisca, con una 4011 ci metterà pochi secondi
Creata la CA, si crea un certificato per il CAPsMAN firmato da questa CA, quindi sempre dai certificati dai + (add)
Come prima i campi descrittivi a scelta tua, importanti Name, Common Name, Key size e Days Valid
In Key Usage:
Ok, doppio click sul certificato, SIGN
Importante scegli la CA creata prima, dai START e aspetta il termine (Progress = done)
Tutto quetso si può fare da terminale con i relativi comandi
/certificate/add
e
/certificate/sign
Ora arriva la configurazione del bridge ospiti, del firewall con le regole aggiunte per far navigare gli ospiti e il capsman con le configurazioni wifi WIFI-INTERNA ovvera quella che va sulla LAN e WIFI-OSPITI che va sul bridge ospiti a parte, ho anche impostato una queue che limita il traffico della rete ospiti a 50M DL / 20M UP (vedi te che valori mettere, in base alla tua connessione)
La subnet wifi ospiti è 172.20.1.0/24 con dhcp 172.20.1.100 - 172.20.1.199
Buon divertimento
Codice:
#################
# IMPOSTAZIONE BRIDGE WIFI OSPITI
#################
/interface bridge
add comment="BRIDGE WIFI OSPITI" name=brOspiti
/interface list
add name=OSPITI
/interface list member
add interface=brOspiti list=OSPITI
#################
# IP + DHCP SERVER OSPITI
#################
/ip address
add address=172.20.1.1/24 comment="IP WIFI OSPITI" interface=brOspiti
/ip pool
add comment="POOL DHCP WIFI OSPITI" name=poolDhcpOspiti ranges=172.20.1.100-172.20.1.199
/ip dhcp-server network
add address=172.20.1.0/24 comment="NET WIFI OSPITI" dns-server=172.20.1.1 gateway=172.20.1.1 ntp-server=172.20.1.1
/ip dhcp-server
add address-pool=poolDhcpOspiti comment="DHCP WIFI OSPITI" interface=brOspiti name=dhcpWifiOspiti
/queue simple
add comment="LIMITE WIFI OSPITI 50M / 20M" max-limit=50M/20M name=queueWifiOspiti target=brOspiti
#################
# FIREWALL
#################
/ip firewall address-list
add address=172.20.1.0/24 list=NetWifiOspiti
/ip firewall filter
add action=accept chain=input comment="IN - ACCEPT - WIFI-OSPITI --> ICMP" \
in-interface-list=OSPITI protocol=icmp src-address-list=NetWifiOspiti
add action=accept chain=input comment="IN - ACCEPT - WIFI-OSPITI --> DNS" \
dst-port=53 in-interface-list=OSPITI protocol=udp src-address-list=NetWifiOspiti
add action=accept chain=input comment="IN - ACCEPT - WIFI-OSPITI --> NTP" \
dst-port=123 in-interface-list=OSPITI protocol=udp src-address-list=NetWifiOspiti
add action=accept chain=forward comment="FWD - ACCEPT - WIFI OSPITI --> WAN" \
in-interface-list=OSPITI out-interface-list=WAN src-address-list=NetWifiOspiti
/ip firewall nat
add action=masquerade chain=srcnat comment=\
"SRCNAT - MASQUERADE - -----> INTERNET" out-interface-list=WAN
#################
# WIFI CAPSMAN
#################
/caps-man configuration
add channel.frequency=2432,2447,2467 comment="WIFI 2.4 GHZ INTERNA - SSID=WIFI-INTERNA PASSWORD=12345678" country=italy \
datapath.bridge=brLAN .client-to-client-forwarding=yes mode=ap name=wifiInterna-2.4 security.authentication-types=wpa-psk,wpa2-psk \
.encryption=aes-ccm,tkip .passphrase="12345678" ssid="WIFI-INTERNA"
add comment="WIFI 2.4 GHZ OSPITI - SSID=WIFI-OSPITI PASSWORD=ospiti1234" country=italy datapath.bridge=brOspiti \
mode=ap name=wifiOspiti-2.4 datapath.client-to-client-forwarding=no security.authentication-types=wpa-psk,wpa2-psk \
.encryption=aes-ccm,tkip .passphrase=ospiti1234 ssid="WIFI-OSPITI"
add channel.frequency=5180,5240,5300,5500,5560,5620,5680 comment="WIFI 5 GHZ INTERNA - SSID=INTERNA-5 PASSWORD=12345678" \
country=italy datapath.bridge=brLAN datapath.client-to-client-forwarding=yes mode=ap name=wifiInterna-5 \
security.authentication-types=wpa-psk,wpa2-psk .encryption=aes-ccm,tkip \
.passphrase=12345678 ssid="INTERNA-5"
/caps-man manager
set ca-certificate=CACapsman certificate=CertCapsman enabled=yes
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=brLAN
/caps-man provisioning
add action=create-dynamic-enabled comment="PROVISIONING WIFI 2.4 GHZ" hw-supported-modes=gn \
master-configuration=wifiInterna-2.4 name-format=identity slave-configurations=wifiOspiti-2.4
add action=create-dynamic-enabled comment="PROVISIONING WIFI 5 GHZ" hw-supported-modes=ac \
master-configuration=wifiInterna-5 name-format=identity
Sulla parte firewall è importante l'ordine, chiaramente le nuove regole che ti ho impostato vengono messe ultime, devi spostarle come da questo screen, ovvero nella chain INPUT dopo gli input dalla LAN metti gli input dalla OSPITI, il tutto prima della parte drop, idem per la chain FORWARD, sposti il forward da OSPITI a WAN prima del drop e dopo il forward da LAN a WAN
se tutto questo va a buon fine, la configurazione del cAP è banale. Resetta la configurazione senza la configurazione di default e importa questa:
Codice:
/interface bridge
add comment="BRIDGE LAN" name=brLAN
/interface ethernet
set [ find default-name=ether1 ] comment="ETH 1 - "
set [ find default-name=ether2 ] comment="ETH 2 - "
/interface wireless
set [ find default-name=wlan1 ] comment="WIFI 2.4 GHZ"
set [ find default-name=wlan2 ] comment="WIFI 5 GHZ"
/interface bridge port
add bridge=brLAN ingress-filtering=no interface=ether1
add bridge=brLAN ingress-filtering=no interface=ether2
/ip address
add address=192.168.9.11/24 comment="IP LAN" interface=brLAN
/ip dns
set servers=192.168.9.1
/ip route
add comment="DEFAULT GW " disabled=no dst-address=0.0.0.0/0 gateway=192.168.9.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Rome
/system identity
set name=ACCESS-POINT-1
/system ntp client
set enabled=yes
/system ntp client servers
add address=192.168.9.1
/interface wireless cap
set caps-man-certificate-common-names=CertCapsman certificate=request \
discovery-interfaces=brLAN enabled=yes interfaces=wlan1,wlan2 lock-to-caps-man=yes
ho dato al cAP ac l'ip 192.168.9.11 ma potresti eventualmente fare una vlan di management degli apparati (io faccio così)
Ricorda anche sempre di aggiornare tutto da system -> packages alle ultime versioni, se hai versioni inferiori alla 7 devi scegliere il channel upgrade così ti passa alla 7 e fare gli aggiornamenti fino all'ultima ovvero 7.14.3
Se il cAP è a posto e "parla" con il capsman, nella scheda wireless del cap ac troverai:
e nella scheda capsman della 4011 troverai
APPLAUSI, grazie !!!! :) :) :)